RISIKO DAN SYSTEM CONTROL REQUIREMENTS

Transkripsi

1 HOME DAFTAR ISI A3 RISIKO DAN SYSTEM CONTROL REQUIREMENTS Sasaran : 1. Memahami risiko-risiko secara umum pada penggunaan teknologi komputer di bidang perbankan 2. Memahami metode pengamanan dan pengendalian pada Aplikasi Perbankan 3. Memahami penerapan pengendalian intern pada Aplikasi Perbankan Institusi keuangan (perbankan) telah menawarkan layanan yang didasarkan atas kemampuan elektronik untuk menunjang kegiatan operasionalnya. Layanan dimaksud berupa electronic banking, phone banking, automated teller machine, automated clearinghouse, dan, yang sedang berkembang sekarang ini, yakni internet banking. Kecanggihan teknologi tersebut memberikan banyak kemudahan kepada para penggunanya, baik karyawan bank tersebut maupun nasabah. Bila ditinjau lebih jauh, kemampuan layanan secara elektronik yang ditawarkan oleh perbankan dapat dikategorikan ke dalam 3 level derajat fungsional. Level I adalah sistem yang hanya menyediakan informasi atau dapat melakukan transmisi data yang tidak sensitif (seperti, ). Level II adalah sistem yang mengizinkan pemakai untuk membagi informasi yang sensitif dan mampu berkomunikasi (seperti, electronic information transfer system). Level III adalah sistem yang menyediakan fasilitas transfer dana secara elektronik serta transaksi keuangan lainnya (seperti, electronic payment system). Dalam bagian berikut akan diuraikan beberapa hal yang diperlukan oleh financial management system agar Resiko dan System Control Requirement, Universitas Gunadarma B/S hal. A 41

2 dapat diaudit secara memadai dan risiko-risiko yang mungkin terjadi pada penerapan teknologi komputer di perbankan. SYSTEM CONTROL REQUIREMENT UNTUK FINANCIAL MANAGEMENT Tipe kontrol : Perangkat lunak (software) Bagian/divisi yang bertanggung jawab: operasional Jejak audit yang memadai akan sangat membantu terpeliharanya transaksi pada sistem finansil (financial system). Untuk tujuan tersebut, Financial management systems harus dapat memberikan hal-hal berikut. Jejak audit yang memungkinkan kita untuk menelusuri transaksi dari dokumen-dokumen sumber, input (original input), perubahanperubahan dan perbaikan, sistem lain, dan transaksi yang dibuata (generated) secara otomatik oleh sistem; Jejak audit yang memungkinkan kita untuk menelusuri transaksi dari dokumen-dokumen dan rangkuman (daftar) mutasi pada laporan keuangan. Penelusuran transaksi yang lengkap dimulai dari dokumendokumen sumber (termasuk jika ada perubahan atau perbaikan) pada subbuku besar (Subsidiary) dan General Ledger sampai ke laporan keuangan atau sebaliknya; Jejak audit yang memungkinkan kita untuk mengidentifikasi perubahan yang terjadi pada parameter sistem dan tabel-tabel pada sistem yang mempengaruhi proses atau pemrosesan ulang untuk setiap transaksi; dan Jejak audit yang mampu mengidentifikasi melalui dokumen input, terjadinya perubahan-perubahan, penghapusan transaksi, dan persetujuan atas suatu transaksi Internal kontrol: kontrol transaksi Tipe kontrol: Perangkat lunak (software) Kontrol transaksi (transaction controls) terdiri dari kontrol input, kontrol Resiko dan System Control Requirement, Universitas Gunadarma B/S hal. A 42

3 proses, dan kontrol output bertujuan untuk menghindari, mendeteksi, dan memperbaiki kesalahan yang mungkin timbul pada saat transaksi akan diotorisasi yang nantinya akan menghasilkan laporan keuangan. Untuk tujuan tersebut, maka sistem harus dapat mengontrol fungsi otorisasi transaksi dan persetujuan, validasi, input, komunikasi, proses penyimpanan, dan output. Kontrol transaksi digunakan untuk mendeteksi berbagai situasi berikut: Kegagalan pencatatan transaksi; Transaksi yang tidak benar atau transaksi yang tidak lengkap; Transaksi ganda; Transaksi yang hilang; Nilai nominal transaksi yang tidak benar; Transaksi yang tidak terotorisasi, berhasil melalui proses normal; Ketidaktepatan dalam menggunakan program testing sebagai cara untuk membantu menghindari prosedur kontrol pada proses normal; dan Pengaksesan sistem dan file oleh pihak yang tidak berwenang Contoh kontrol untuk situasi di atas, termasuk perbaikan transaksinya, adalah sistem secara spesifik dapat memeriksa transaksi untuk memastikan bahwa hanya transaksi yang benar yang diproses. Jika terjadi perbaikan transaksi, sistem harus dapat mencatat petugas yang telah mengotorisasi perbaikan tersebut dan berapa kali perbaikan dilakukan RISIKO Penggunaan teknologi komputer dan komunikasi di bidang perbankan pada satu sisi dapat meningkatkan efisiensi kegiatan operasional, kualitas, dan kecepatan pelayanan pada nasabah yang pada akhirnya akan meningkatkan keunggulan bersaing bank tersebut. Sedangkan di sisi lain mengandung risiko potensial, yang apabila tidak diantisipasi dengan baik Resiko dan System Control Requirement, Universitas Gunadarma B/S hal. A 43

4 akan merugikan bank yang bersangkutan. Menurut Soepraptomo (1994), ada tiga jenis risiko yang dihadapi bank dalam menggunakan teknologi informasi dan komputer. Pertama, environment risk atau risiko yang berasal dari lingkungan intern dan ekstern bank, yang meliputi faktor loyalitas staf dan kesadaran atas pengamanan. Kedua, operation risk atau risiko yang lahir akibat kegiatan operasional bank, sehingga semakin besar skala kegiatan yang dikomputerisasikan, maka semakin besar potensi kejahatan yang mungkin muncul. Ketiga, product risk atau service risk, yaitu risiko yang muncul karena bank melansir satu produk atau jasa. Penggunaan teknologi sistem informasi (TSI) dalam melakukan pemrosesan data sangat berbeda dari sistem manual. Walaupun kedua sistem tersebut sama-sama dapat menimbulkan risiko, akan tetapi penggunaan TSI memiliki risiko yang lebih bersifat teknis dan khusus (Panduan Pengendalian Umum TSI BI, 1995). Risiko-risiko tersebut, antara lain, adalah: 1. Risiko pada tahap perencanaan dan pengembangan sistem Risiko pada tahap perencanaan dan pengembangan sistem terjadi bila orang-orang yang menggunakan sistem dan mengerti prosedur pemakaian aplikasi tidak dilibatkan, sehingga pada saat aplikasi diimplementasikan terjadi kesalahan-kesalahan prosedur operasional yang telah ada. Kebutuhan-kebutuhan end user tidak terpenuhi akibat tidak diikutsertakan dalam tahap perencanaan pembuatan aplikasi. Di sini tahapan perencanaan tidak menggunakan standar perancangan sistem sehingga aliran informasi dan kebutuhan sistem tidak terpenuhi. 2. Risiko kekeliruan pada tahap pengoperasian Tidak adanya panduan pemakaian sistem (user manual system) dan tidak adanya pesan kesalahan dalam pemakaian sistem, sehingga informasi akhir tidak sesuai dengan yang dibutuhkan. Resiko dan System Control Requirement, Universitas Gunadarma B/S hal. A 44

5 3. Risiko akses oleh pihak yang tidak berwenang Pembatasan pemakaian sistem aplikasi setiap pemakaian sistem dan pencegahan akses bagi yang tidak berwewang. 4. Risiko kerugian akibat terhentinya operasi TSI secara total atau sementara, sehingga mengganggu kelancaran operasional bank Risiko ini terjadi bila salah satu bagian dari TSI tidak mendukung, seperti hardware, software, sistem aplikasi, data, dan sarana pendukung operasional mengalami gangguan. Misalnya kerusakan server sehingga sistem aplikasi perbankan tidak dapat digunakan. 5. Risiko kehilangan/kerusakan data Risiko kehilangan/kerusakan data yang berakibat bank tidak dapat operasi. Jenis-jenis risiko tersebut menuntut pihak bank untuk berhati-hati dalam penggunaan teknologi informasi dan komputer. Caranya adalah memasukkan faktor sistem keamanan data sebagai salah satu kriteria dalam pemilihan teknologi komputer dan informasi yang akan diterapkan oleh bank yang bersangkutan. Beberapa alternatif yang bisa dilakukan untuk mengantisipasi dan menanggulangi risiko tersebut, di antaranya adalah pemilihan sumber daya manusia yang berkualitas, aspek manajemen bisnis perbankan, dan pengenalan berbagai metode sistem keamanan data yang perlu diimplementasikan pada teknologi sistem informasi itu sendiri. PENGAMANAN DAN PENGENDALIAN APLIKASI Resiko dan System Control Requirement, Universitas Gunadarma B/S hal. A 45

6 PENERAPAN PENGENDALIAN INTERNAL PADA SISTEM APLIKASI Pengendalian internal adalah metode-metode atau prosedur-prosedur yang digunakan dalam proses bisnis untuk menjaga kekayaan perusahaan, memonitor keakuratan data keuangan, mendorong efisiensi operasi, dan melaksanakan kebijakan manajemen (Zucconi, 1987). Sedangkan menurut Muljono (1992), pengendalian internal meliputi susunan organisasi dan semua cara dan peraturan yang telah ditetapkan oleh perusahaan untuk menjaga dan mengamankan harta miliknya, memeriksa kecermatan dan kebenaran data-data administrasi/keuangan, memajukan efisiensi kerja, dan mendorong dipatuhinya kebijaksanaan yang telah ditetapkan oleh top management. Pengendalian internal di bank yang sudah menerapkan teknologi komputer dalam operasionalnya harus tercermin dalam aplikasi komputer yang digunakan. Masalahnya adalah bagaimana bentuk implementasi internal control yang memadai tersebut. Berikut adalah beberapa pedoman umum yang dapat diikuti dalam rangka menerapkan sistem pengendalian internal. 1. Adanya plan of organization yang dilengkapi dengan pemisahan wewenang dan tanggung jawab secara fungsional, yang meliputi: a. Pemisahan antara fungsi penyimpanan dari asset dan fungsi akuntansi/administrasi; b. Pemisahan antara fungsi penyimpanan dan pejabat yang mempunyai wewenang dalam melaksanakan transkasi, misalnya pemisahan antara fungsi teller dan pejabat yang mengotorisasi transaksi dengan nominal sangat besar; dan c. Pemisahan antara petugas operasional dan fungsi administrasi; 2. Adanya sistem pembagian wewenang yang memadai dalam setiap proses kegiatan 3. Adanya praktek-praktek kerja yang sehat dalam melaksanakan setiap tugas dan fungsi yang harus dilakukan oleh setiap tingkat manajemen dan oleh semua personalia di masing-masing bank; dan Resiko dan System Control Requirement, Universitas Gunadarma B/S hal. A 46

7 4. Adanya tingkat kualitas personil yang sesuai dengan wewenang dan tanggung jawabnya. 1. Pembagian Tugas (Division of duties) Pemisahan tugas dalam kegiatan perbankan dimaksudkan untuk mendapatkan internal check secara otomatik melalui prosedur kerja yang melibatkan fungsi-fungsi operasional sesuai dengan wewenang dan tingkat otoritas masing-masing. Teknik pemrograman komputernya biasanya menggunakan sistem keamanan yang berlapis, misalnya melalui pembatasan wewenang menggunakan file data base atau file program dengan menggunakan sistem operasi Novell Netware jika bank tersebut menggunakan jaringan komputer, serta pembatasan penggunaan menu Aplikasi Perbankan yang bisa di-set-up oleh pejabat yang berwenang. Pembagian tugas pada operasional bank biasanya dapat dilihat pada sistem dan prosedur operasional bank untuk setiap aktivitas yang dilakukan bank sesuai dengan fungsi dan peranan perbankan. Contohcontoh sistem dan prosedur tersebut dapat dilihat pada gambar-gambar yang terdapat pada halaman akhir bagian ini. Secara umum pejabat atau bagian yang terlibat dengan tugas dan wewenang masing-masing pada kasus ini adalah sebagai berikut: 1. Customer Service yang akan menerima aplikasi permohonan pembukaan tabungan dan meng-input-nya ke dalam sistem Aplikasi Tabungan sehingga diperoleh nomor rekening nasabah; 2. Teller akan menerima selembar cek (check) milik nasabah dan akan meng-input jumlah nominalnya ke rekening nasabah; 3. Bagian kliring sebagai offset (lawan dalam jurnal akuntansinya terhadap rekening tabungan) yang akan mencatat dan memproses check tersebut selanjutnya; dan Resiko dan System Control Requirement, Universitas Gunadarma B/S hal. A 47

8 4. Bagian akuntansi (terletak di back office) yang akan mencatat transaksi tersebut dan menyusun laporan keuangannya, misalnya pada saat proses akhir hari. Pembagian tugas ini juga bisa diterapkan pada tingkatan otoritas di antara pegawai bank dalam hal tugas dan tanggung jawab yang berbeda sesuai dengan deskripsi tugasnya masing-masing. Contoh tingkat otoritas pada bagian teller adalah sebagai berikut. Tabel 3.1 Contoh Tingkat Otoritas Bagian Teller No. Kode Keterangan 1 T06 Teller pemula dibatasi hanya untuk penarikan tunai di bawah Rp ,00 2 T05 Teller senior untuk transaksi sampai dengan Rp ,00 3 T04 Head Teller untuk transaksi sampai dengan Rp serta mengubah limit transaksi teller yang menjadi tanggung jawabnya Contoh tingkat otorisasi dalam sistem Tabungan : 2. Dual control Dual control adalah suatu bentuk prosedur kerja yang menciptakan suatu pengecekan ulang suatu pekerjaan yang telah dilakukan oleh petugas sebelumnya, dengan tujuan untuk menciptakan kondisi berikut. 1. Apakah pelaksanaan tugas tersebut telah dilakukan sesuai batasan wewenangnya; Resiko dan System Control Requirement, Universitas Gunadarma B/S hal. A 48

9 ** BANK GUNADARMA ** Kode Staff Tanggal : 08/11/ OP Sandi N a m a Bts.Wng. Autorisasi Exp-Date Kd.Cab COF CASH OFFICER /11/99 01 CSO CUSTOMER SERVICE /12/99 01 EDP EDP /11/99 01 GT1 TELLER_ /12/99 01 GT2 TELLER_ /12/99 01 GT3 TELLER_ /12/99 01 HTL HEAD TELLER /11/99 01 MAS PASSWORD /09/92 01 Tekan Enter untuk kembali ke menu Gambar 3.1 Daftar user ID beserta batasan wewenang dan otorisasi 2. Apakah transaksi yang terjadi telah dicatat, dibukukan, dan diadministrasikan dengan benar; dan 3. Apakah transaksi-transaksi tersebut telah dilaksanakan dengan benar. Contoh metode penerapan pada aplikasi komputernya adalah dengan sistem offset departemen (pemeriksaan ulang secara otomatik dengan menggunakan komputer tanpa menggunakan dokumen tertulis atau paperless). Contoh kasus di atas penjelasannya adalah sebagai berikut. 1. Teller secara otomatik akan meng-input jumlah penyetoran, misalnya sebesar Rp (dengan catatan kliring sudah efektif). Pencatatan akuntansi mengharuskan bahwa jika terjadi penambahan tabungan (sisi kredit) maka ada pasangan rekening lawan yang di-debet. Tetapi masalahnya, rekening lawan tersebut (misalnya warkat kliring) bukan wewenang teller yang bersangkutan. Hal ini bisa ditangani dengan menggunakan prosedur offset departemen, yaitu pada saat teller selesai meng-input penambahan Resiko dan System Control Requirement, Universitas Gunadarma B/S hal. A 49

10 tabungan, sistem Aplikasi Tabungan membuat jurnal lawannya sebesar Rp yang ditujukan ke bagian kliring. Status pencatatan ini bersifat sementara sampai bagian kliring yang menggunakan sistem aplikasi tabungan yang sama membuat penjurnalan balik; 2. Bagian kliring seharusnya melakukan penjurnalan balik segera offset yang dilakukan bagian tabungan tersebut dan secara efektif menambahkannya ke dalam ledger yang tetap, yaitu warkat kliring sebesar Rp Jika bagian kliring tersebut belum membalik jurnalnya, maka pada saat bagian akuntansi (back office) melakukan proses akhir hari untuk menghitung saldo hari ini, maka sisten secara otomatik akan mendeteksinya, yaitu dengan membuat laporan offset departemen dan bisa diketahui bagian mana yang belum melakukan jurnal balik. 3. Joint custody (Dual Custody) Sistem atau prosedur dalam penyimpanan uang, surat-surat berharga, atau dokumen lainnya dengan menggunakan kunci yang diciptakan lebih dari satu kombinasi dengan maksud untuk menghindari kemungkinan penyalahgunaan oleh pemegang kunci atau pemaksaan pihak lain. Contohnya penyimpanan uang di main vault (lemari besi) yang harus menggunakan dua orang, misalnya kunci satu oleh petugas front office dan kunci utama oleh pegawai dengan jabatan lebih tinggi. Dual custody juga bisa diterapkan pada sistem aplikasi komputer, yaitu prosedur membuka sistem pada saat sistem aplikasi tersebut akan digunakan (misalnya pagi hari pada saat bank mulai beroperasi pada hari tersebut). Sistem aplikasi tersebut baru bisa dijalankan jika sudah dibuka oleh dua orang pegawai, biasanya satu pejabat operasional dan satu pejabat manajerial. Resiko dan System Control Requirement, Universitas Gunadarma B/S hal. A 50

11 Mulai tgl sistem sama? tidak Ubah tanggal ya Masukkan ID & password petugas yang berwenang (Teller) Masukkan tanggal proses hari berikutnya Persetujuan dari atasan (Head Teller) Selesai Gambar 3.2 Bagan Alir Buka Sistem 4. Number control Bentuk mekanisme pengawasan, baik melalui prenumbered atas formulir dan kertas-kertas kerja yang dipakai untuk melaksanakan kegiatan transaksi-transaksi sehari-hari maupun pemberian kode penomoran yang sistematis atas setiap transaksi, dimaksudkan untuk tujuan berikut. 1. Mempermudah pengendalian arus pekerjaan itu sendiri; 2. Pengawasan atas formulir-formulir kerja itu sendiri terutama atas surat berharga yang dapat diperjualbelikan; dan 3. Mempermudah pelaksanaan kembali apabila terjadi penyimpanganpenyimpangan. Salah satu contoh penerapan number control ini yaitu pada nomor nota transaksi yang di-input oleh teller atau nota posting transaksi pada sistem general ledger. Resiko dan System Control Requirement, Universitas Gunadarma B/S hal. A 51

12 5. Independence balancing Independence balancing adalah bentuk pengawasan melalui persamaan akuntansi yang secara otomatik akan menghasilkan keseimbangan antara saldo suatu rekening dan rekening lainnya. Syarat tersebut perlu dipenuhi mengingat bahwa proses akuntansi yang benar akan menghasilkan saldosaldo yang seimbang. Untuk lebih menjamin kebenaran atas keseimbangan saldo-saldo tersebut, sebaiknya antara proses penyusunan rekening tersebut dan rekening lawannya dikelola oleh petugas-petugas yang terpisah. Independence balancing akan memudahkan memeriksa kebenaran transaksi, misalnya jumlah uang tunai fisik yang menjadi tanggung jawab salah seorang teller bisa dibandingkan dengan rekapitulasi transaksi yang sudah di-input oleh teller tersebut yang bisa dicetak sistem Aplikasi Tabungan oleh petugas bagian back office atau oleh head teller. Prinsip independence balancing juga bisa terlihat dalam pemeriksaan transaksi yang melibatkan dua departemen seperti contoh di atas. Pada saat bagian akuntansi mencetak neraca harian pada saat proses akhir hari, neraca tersebut menunjukkan saldo antara aktiva dan pasiva yang seimbang tetapi harus diperiksa rekening atau ledger-nya terlebih dahulu. Jika terdapat rekening selisih yang ditunjukkan pada rekening offset departemen pada sejumlah nominal tertentu, misalnya sebesar Rp , hal ini menunjukkan adanya prosedur transaksi yang salah akibat salah satu departemen belum membalikkan transaksi tersebut dan dialokasikan pada rekening yang seharusnya. METODE PENGAMANAN DAN PENGENDALIAN APLIKASI Ketergantungan kelancaran kegiatan operasional perbankan pada sistem plikasi cenderung semakin tinggi sejalan dengan risiko kerugian yang mungkin timbul. Oleh karena itu, diperlukan adanya mekanisme kontrol dan pengamanan yang memadai. Dengan tersedianya mekanisme kontrol dan pengamanan yang memadai, kelancaran kegiatan usaha akan Resiko dan System Control Requirement, Universitas Gunadarma B/S hal. A 52

13 terjamin dan kemungkinan timbulnya risiko yang diakibatkan oleh penyelenggaraan TSI oleh bank akan dapat dihindari/dikurangi. Adapun prosedur pengamanan data yang harus dilakukan oleh pengguna sistem aplikasi. Prosedur pengamanan dimaksud, di antaranya adalah: Pembatasan akses dilakukan dengan tujuan untuk mengurangi kemungkinan timbulnya risiko penggunaan sistem aplikasi oleh pihak yang tidak berwenang, terutama kerugian sebagai akibat dari perubahan, kerusakan, dan hilangnya data. Dalam sistem pengamanan ini diperlukan adanya mekanisme yang dapat digunakan untuk memantau akses pihak yang tidak berwenang; Penetapan petugas yang bertanggung jawab untuk merumuskan dan melaksanakan fungsi pengamanan dan maintenance terhadap sistem aplikasi. Untuk menjamin efektivitas fungsi pengamanan, maka petugas tersebut sebaiknya tidak diberikan tugas-tugas yang berhubungan dengan pengoperasian, data entry, dan transaksi; Pembatasan akses sedemikian rupa sehingga fasilitas akses terhadap sistem aplikasi hanya dapat dilakukan oleh petugas yang berwenang dengan melalui pemberian passwordi; Prosedur pengamanan tersebut sekurang-kurangnya dapat menjamin bahwa semua laporan aktivitas pengamanan, termasuk laporan aksesakses yang tidak berwenang, dianalisa secara teratur untuk mengetahui kelemahan-kelemahan pengamanan dan melakukan tindak lanjutnya; dan Back up data, sistem aplikasi, perangkat keras dan lunak yang mendukung dengan prosedur back up yang baik yaitu back up dilakukan beberapa kali dengan tempat penyimpanan yang berbeda serta lokasi yang aman dari gangguan fisik dan manusia. Pengendalian aplikasi secara umum terdiri dari dua bentuk pengendalian yaitu pengendalian file (file control) dan pengendalian transaksi (transaction control). Teknik-teknik yang digunakan dalam pengendalian aplikasi ini adalah relatif banyak jumlahnya tetapi secara umum Resiko dan System Control Requirement, Universitas Gunadarma B/S hal. A 53

14 dikelompokkan berdasarkan tujuannya, yaitu untuk (1) ketepatan dan kelengkapan input, (2) ketepatan dan kelengkapan up date, (3) validitas transaksi, (4) transaksi yang dibangkitkan secara otomatik oleh komputer, (5) memelihara data yang tersimpan pada file, (6) pengendalian pembuatan file dan konversi ke sistem baru, dan (7) pengendalian operasional dan administratif. Banyak teknik yang tersedia, namun dalam modul ini pembahasan dibatasi hanya pada teknik-teknik pengendalian yang diimplementasikan pada sebuah contoh program Aplikasi Perbankan, yaitu Aplikasi General Ledger, Aplikasi Tabungan, dan Aplikasi Giro. Teknik-teknik pengendalian yang diterapkan dalam ketiga aplikasi tersebut lebih banyak pada pengendalian transaksi (transaction control), yaitu: 1. Teknik-teknik untuk menjamin kelengkapan input, yaitu dengan computer matching (kasusnya adalah pembukaan rekening baru). Jika pengisian data belum lengkap maka sistem komputer akan menolak dan tidak akan diproses lebih lanjut; 2. Teknik-teknik untuk menjamin ketepatan input dengan programmed edit check, yang meliputi reasonableness checks, dependency checks, existence checks, format checks, mathematical accuracy checks, dan check digit verification (kasusnya adalah check digit pada nomor rekening tabungan). Penjelasan singkat berbagai teknik programmed edit checks tersebut adalah sebagai berikut: Reasonableness check Memeriksa apakah isi data yang dimasukkan ke dalam sistem reasonable dikaitkan dengan pemasukan data sebelumnya atau menurut standar yang telah ditetapkan. Contohnya adalah tanggal transaksi pada besok hari otomatik tidak bisa diterima jika tanggal sistem atau tanggal proses yang sedang berjalan adalah tanggal hari ini. Pada sistem Aplikasi Tabungan dan Aplikasi Giro hal ini dapat Resiko dan System Control Requirement, Universitas Gunadarma B/S hal. A 54

15 diperiksa antara lain melalui pencocokan tanggal sistem dan tanggal valuta transaksi. Jika terjadi transaksi kemarin dimasukkan hari ini, aplikasi dapat mengantisipasi yaitu melalui transaksi back value. Dependency Checks Menguji apakah isi dua atau lebih elemen data atau field pada transaksi mengandung hubungan logis yang benar. Hubungan tersebut biasanya mengenai tanggal dan indikator, misalnya tanggal jatuh tempo deposito berkaitan dengan tanggal pembukaan deposito atau contoh lainnya yaitu pada aplikasi tabungan, jika seorang nasabah tergolong bukan prime customer, maka pengisian persen bunga tidak bisa di-input sembarangan (misal jauh lebih lebih tinggi dari yang lain) tetapi berdasarkan tabel bunga yang sudah ditetapkan sebelumnya. Existence checks Menguji kode data yang dimasukkan sesuai dengan kode yang sudah tersimpan di dalam file atau program. Contohnya adalah penjurnalan suatu transaksi pada Aplikasi General Ledger harus meng-input nomor ledger atau subledger yang sesuai dengan sistem penomoran yang sudah ditetapkan sebelumnya. Contoh lainnya, pemasukan kode transaksi pada Aplikasi Tabungan dan Aplikasi Giro biasanya sesuai dengan kode-kode yang sudah ditetapkan sebelumnya. Kode-kode ini tentunya dimunculkan pada tampilan layar monitor untuk memudahkan pengguna (user) memasukkan transaksi. Format Checks Menguji kesesuaian format data transaksi (eksistensi format numerik atau karakter abjad). Contohnya adalah jika nominal transaksi diisi dengan karakter maka sistem akan menolak (biasanya dilengkapi dengan pesan atau bunyi kesalahan), atau nama nasabah tidak boleh dikosongkan pada input data nasabah. Resiko dan System Control Requirement, Universitas Gunadarma B/S hal. A 55

16 Mathematical accuracy checks Memeriksa perhitungan matematik yang dilakukan oleh sistem, misalnya jika posisi saldo satu rekening adalah Rp , maka sistem akan menolak seandainya di-input transaksi penarikan tabungan sebesar Rp Range checks Pemeriksaan ini masih tergolong dalam ketepatan matematik Contohnya adalah input tanggal transaksi dengan angka 32 akan ditolak karena kisaran jumlah hari dalam satu bulan tidak melebihi 31 hari. Check digit verification Teknik ini digunakan untuk mengendalikan ketepatan input dengan menggunakan suatu nomor referensi yang biasanya dibangkitkan atau dibuat secara otomatik oleh sistem komputer. Contohnya adalah check digit pada nomor rekening tabungan yaitu 1 digit terakhir yang dihitung secara matematik berdasarkan deretan digit sebelumnya. Contoh operasi matematik yang digunakan adalah modulus (sisa pembagian) Teknik untuk menjamin kelengkapan up date, yaitu dengan computer matching (kasusnya adalah proses akhir hari untuk meng-update saldo). 4. Teknik-teknik untuk menjamin validitas transaksi, yaitu melalui proses otorisasi transaksi pada program (kasusnya adalah tingkatan otorisasi pengguna sistem aplikasi tabungan). Resiko dan System Control Requirement, Universitas Gunadarma B/S hal. A 56

17 CONTOH PENGAMANAN DAN PENGENDALIAN APLIKASI 1. Pada Aplikasi General Ledger Level otorisasi dan password Level otorisasi tertinggi ada pada masing-masing pimpinan cabang (0xx) dan masing-masing pimpinan akan membuat ID dan otorisasi bagi areanya. Contohnya dapat dilihat pada tabel berikut. Tabel 3.2 Contoh ID dan Otorisasi No ID Keterangan No ID Keterangan 1 1XX Kepala Group 4 4XX User Operasional 2 2XX Kepala Departemen 5 8XX Team Audit 3 3XX Supervisor 6 9XX System Operasional Contoh skema pembuatan user ID tersaji pada Gambar 3.3. Pimpinan (user level 000) membuatkan user ID untuk pimpinan-pimpinan cabang Cabang 0A1 cabang 0A2 cabang 0A3 dst. Masing-masing pimpinan cabang membuat user ID untuk kepala group dan pejabat lainnya pada cabang-cabang tersebut 1AA 1BB..dst Kepala group/divisi 1AA 1BB 1CC 1DD Ka Dep. Tabungan Ka Dep. Deposito Ka Dep. CIS Ka Dep. Giro & PRK Ka Dep. Pinjaman Ka Dep. Sundries Ka Dep. Transfer Ka Dep. Personalia Ka Dep. Umum 1EE 1FF Ka Dep. Audit Ka Dep. DPC Resiko dan System Control Requirement, Universitas Gunadarma B/S hal. A 57

18 Tahap selanjutnya untuk supervisor dan user 201 Ka.dep. personalia 301 Supv. personalia 401 user opr.personalia 801 audit personalia 901 DPC personalia 202 Ka.dep. umum 302 Supv. umum 402 user opr.umum 802 audit umum 902 DPC umum 203 Ka.dep. giroprk 303 Supv. Giroprk 403 user opr.giro 803 audit giro 903 DPC giroprk 204 Ka.dep. deposito 304 Supv. deposito 404 user opr.deposito 804 audit deposito 904 DPC deposito 205 Ka.dep. tabungan 305 Supv. tabungan 405 user opr.tabungan 805 audit tabungan 905 DPC tabungan 206 Ka.dep. pinjaman 306 Supv. pinjaman 406 user opr.pinjaman 806 audit pinjaman 906 DPC pinjaman 207 Ka.dep. CIS 307 Supv. CIS 407 user opr.cis 807 audit CIS 907 DPC CIS 208 Ka.dep. sundries 308 Supv. sundries 408 user opr.sundries 808 audit sundries 908 DPC sundries 209 Ka.dep. transfer 309 Supv. transfer 409 user opr.transfer 809 audit transfer 909 DPC transfer Gambar 3.3 Skema Pembuatan user_id Batasan wewenang User level 000 dapat masuk ke menu: a. pembuatan password (menu 23) b. Posting mutasi (menu 41) c. Melihat mutasi per nota (menu 51) d. Offset departemen (menu 53) e. Melihat saldo hari ini (menu 54) f. Melihat posisi saldo (menu 55) g. Laporan selama proses (menu 61) h. Laporan Saldo (menu 62) i. Laporan Audit (menu 63) j. Laporan Akunting (menu 64) k. Laporan Master file (menu 65) Resiko dan System Control Requirement, Universitas Gunadarma B/S hal. A 58

19 2. Pada Aplikasi Tabungan dan giro User ID/Password User ID digunakan untuk menjaga kerahasiaan data atau informasi yang tidak bisa diakses oleh orang lain. Metode ini digunakan untuk memenuhi faktor security pada tujuan sistem keamanan. Penggunaan sistem Aplikasi Perbankan untuk operasional tidak terlepas dari user_id/password, yaitu orang atau pejabat bank yang berhak mengoperasikan sistem aplikasi tersebut yang juga sudah dilengkapi dengan tingkat otorisasinya sesuai dengan tugas dan tanggung jawabnya dalam operasional perbankan. Halhal yang perlu diperhatikan dalam user_id/password ini adalah; (i) kehatihatian dalam pemasukannya untuk menghindari kejadian di mana user_id/password diketahui oleh orang lain (aspek security), dan (ii) pemeliharaan periode berlakunya user id/password tersebut (maintenance). Metode pengamanan datanya menggunakan enkripsi, yaitu dengan mengaburkan tampilan input data pada layar (screen saver ) untuk menghindari penggunaan tugas dan wewenangnya oleh orang lain pada saat yang bersangkutan sudah masuk ke sistem aplikasi tetapi sedang tidak berada di tempat. Pemberian akses dengan pemberian password kepada setiap pengguna. Pemberian password didasarkan pada suatu kebijaksanaan password secara tertulis dan didokumentasikan baik dalam hal penambahan, pengapusan maupun pengubahan kemampuan setiap pengguna. Perumusan ketentuan tertulis mengenai sistem password tersebut antara lain meliputi: Jumlah karakter, contohnya pada aplikasi tabungan sebanyak 8; Tidak ditampilkan ada waktu membuka sistem di mana telah dienkripsi pada layar; Tidak dapat dicetak pada maintenace password; Disimpan dalam file setelah dilakukan enkripsi; Resiko dan System Control Requirement, Universitas Gunadarma B/S hal. A 59

20 Log off secara otomatik apabila pengguna tidak aktif untuk beberapa waktu tertentu; Penon-aktifan password apabila seorang pengguna pindah/berhenti kerja atau cuti; dan Pembatasan kegagalan log-on, contohnya pada Aplikasi Tabungan sebanyak 3 kali. Check Digit Check digit sering digunakan bank-bank dalam struktur nomor rekening dengan tujuan untuk menghindari kesalahan nomor rekening nasabah yang seharusnya ke nomor rekening nasabah lain. Secara umum, check digit menggunakan rumus matematika yang mengoperasikan deretan bilangan-bilangan pada nomor rekening yang di-set oleh bank dan biasanya ditempatkan pada digit terakhir dari suatu nomor rekening. Salah satu contoh struktur nomor rekening nasabah tabungan suatu bank adalah sebagai berikut X 1 X 2. X 3 X 4. X 5. X 6 X 7 X 8 X 9 X 10. X 11. Nomor rekening tersebut menunjukkan beberapa informasi sesuai dengan kebijakan yang sudah ditetapkan bank, di antaranya adalah sebagaimana tampak pada tabel berikut. Tabel 3.3 Metode Penentuan Nomor Rekening Digit X 1 X 2 X 3 X 4 X 5 Keterangan Kode cabang bank dengan kapasitas maksimal 100 kantor cabang mulai 00 sampai 99 Kode aplikasi yang digunakan (Tabungan, Giro atau Deposito) Kode mata uang yang digunakan X 6 - X 10 Nomor urut nasabah yang dapat menampung orang nasabah X 11 Check digit yang dihitung otomatis komputer dengan menggunakan rumus matematis tertentu yang mengoperasikan nilai-nilai pada digitdigit sebelumnya Resiko dan System Control Requirement, Universitas Gunadarma B/S hal. A 60

21 Sedangkan salah satu contoh rumus matematik yang digunakan untuk menghitung check digit tersebut adalah; X 11 = n i= 1 XI mod11 Dengan demikian apabila diketahui 10 digit pertama suatu nomor rekening adalah , maka dengan menggunakan rumus di atas, perhitungan check digit-nya adalah sebagai berikut: Z = (1*0)+(2*2)+(3*0)+(4*5)+(5*0)+(6*0)+(7*0)+(8*1)+(9*5)+(10*0) = 77 di mana X 11 = 77 mod 11 = 0, jadi struktur nomor rekening Tabungan selengkapnya Level otorisasi Level otorisasi tertinggi ada pada masing-masing pimpinan cabang. Masing-masing pimpinan akan membuat ID dan otorisasi bagi areanya. Dalam Tabel 3.4 di bawah ini disajikan salah satu bentuk tingkatan atau level otorisasi. Tabel 3.4 Tingkatan Otorisasi Tingkatan Keterangan 1 Kepala Departemen 2 Checker / Supervisor 3 Teller Front Office 4 Customer Service 5 Data Procesing 6 Data Control 7 Teller Back Office 8 Security Password Resiko dan System Control Requirement, Universitas Gunadarma B/S hal. A 61

22 Untuk mengetahui tingkatan otorisasi seorang pemegang suatu ID dapat dilakukan dengan melihat pada cara pembuatan User ID seperti tampak pada gambar di bawah ini. ** BANK GUNADARMA ** 18/07/94 TABUNGAN Maintenance Password Staff-Id :K01 2. Password : 3. Nama :CASH OFFICER 4. Autorisasi :1 5. Kode batasan wewenang :01 6. Batas Waktu Password :18/07/94 7. Kode cabang :01 Isi dgn Y/T ===> 1, 2, 3, 4, 5, 6, 7, 8, 9,10,11,12,13,14,15,16,17,18 8. Kode Cash Officer : Y--Y--Y--Y--Y--Y--Y--Y--Y--Y--Y Kode Head Teller : Kode Teller : Kode R/K Khusus : Y--Y Kode Akhir Hari : Y--Y--Y--Y--Y--Y--Y-- --Y Kode Akhir Bulan : Y-- --Y--Y--Y--Y--Y--Y--Y--Y DATA OK (Y/T) 2 Gambar 3.4 Maintenance Password beserta wewenang dan batasan Pemegang User_ID K01 dengan jabatan sebagai Cash Officer mempunyai level otorisasi 1, yakni sebagai Kepala Departemen yang mempunyai batasan wewenang penarikan 01 (tertinggi) dan dapat membuka menu berikut: menu Cash officer dari nomor 1 sampai dengan nomor 11; menu Rekening Khusus nomor 4 dan 5; menu Akhir Hari 7 sampai dengan 13 dan 15; dan menu Akhir Bulan 1 dan 3 sampai dengan 10. Batasan Wewenang Batasan wewenang pada Aplikasi Tabungan ditujukan untuk membatasi setiap pengguna (user) dalam mengeluarkan uang (melayani penarikan uang). Batasan seorang senior teller akan lebih tinggi dibandingkan dengan junior teller. Namun, bila dibandingkan dengan Head Teller tentunya seorang senior teller akan lebih rendah tingkatannya. Daftar Resiko dan System Control Requirement, Universitas Gunadarma B/S hal. A 62

23 batasan wewenang dapat di lihat pada menu Cash Officer sebagaimana tersaji dalam gambar berikut. ** BANK GUNADARMA ** Kode Batas Wewenang Tanggal : 18/07/ No. Kode Batas Pengambilan ,000, ,000, ,000, ,000, ,000, ,000, Gambar 3.4 Daftar batasan wewenang penarikan uang Gambar 3.5 Menu Cash Officer Message Error Pada saat terjadi salah input ketika melakukan aktivitas dalam Aplikasi Tabungan, sistem akan menampilkan informasi pada layar. Hasil dari kegiatan pembukaan rekening, yaitu bila kode account officer (AO) yang melakukan pengesahan pembukaan rekening tidak di-input, akan memberikan informasi bahwa AO tidak ada. Begitu pula jika tempat dan tanggal lahir tidak diisi. Di layar monitor akan muncul pesan bahwa tempat dan tanggal lahir belum diisi. Untuk kegiatan proses akhir hari, bila prosedur back up belum dilakukan, maka pesan harus melakukan back up akan tampil pada layar. Laporan Penghapusan Transaksi Bila melakukan penghapusan transaksi, transaksi yang dihapus tidak langsung hilang dari database tetapi akan disimpan untuk mengetahui teller mana yang sering melakukan kesalahan input. Prosedur kerja yang tidak dijalankan dengan baik Pada tahapan akhir hari dan akhir bulan, bila prosedur yang ada tidak dijalankan dengan benar pada suatu tahap akan muncul pesan tentang adanya kesalahan. Akibatnya tahapan kerja selanjutnya tidak dapat Resiko dan System Control Requirement, Universitas Gunadarma B/S hal. A 63

24 dijalankan. Untuk sistem Aplikasi Tabungan, pada saat belum melakukan back up maka proses akhir hari tidak dapat dilakukan dan bila proses akhir hari sudah dilakukan tetapi ada transaksi yang belum di-input maka transaksi tidak dapat dilakukan. Resiko dan System Control Requirement, Universitas Gunadarma B/S hal. A 64