Mandiri : IT Risks & Controls

Kelompok 5

1. Agatha Raharjo (01)

2. Angga Dena P (04)
3. Doni Iwan P. (14)
4. Muhammad Fitra (24)
5. Pascalis Prakosa (25)
 IT Risks and Controls : Bank Mandiri

aaaaaDunia memasuki era digital, era media sosial, dimana hampir seluruh aktivitas
manusia dari bangun tidur hingga keesokan harinya dapat diketahui dari media sosial.
Perkembangan teknologi informasi (TI) yang begitu pesat bagaikan dua sisi mata pisau,
yang apabila tidak digunakan dengan bijak justru dapat melukai pengguna TI itu sendiri.
Bank Mandiri sendiri sejauh ini telah merasakan akibat dari pisau bernama TI ini.
Pertengahan tahun 2014, Bank Mandiri menjadi korban dari salah satu bentuk
pencurian bernama “skimming” dengan total kerugian 3 Milliar Rupiah. Dampak dari
kasus ini sangatlah besar, hingga Bank Indonesia mengeluarkan instruksi khusus untuk
menghadapi “skimming” ini.
aaaaaBank Indonesia melalui Peraturan Bank Indonesia mendefinisikan Teknologi
Informasi adalah teknologi terkait sarana komputer, telekomunikasi dan sarana
elektronis lainnya yang digunakan dalam pengolahan data keuangan dan atau
pelayanan jasa perbankan.
aaaaaTeknologi Informasi merupakan aset penting dalam operasional yang dapat
meningkatkan nilai tambah dan daya saing bank Mandiri. Penggunaan TI tentu tidak
lepas dari berbagai risiko, untuk itulah diperlukan apa yang disebut IT Governance & IT
Risk Management. Sesuai definisi IIA, IT Governance terdiri atas leadership, kerangka
organisasi berupa personil dalam organasisasi, dan suatu proses yang memastikan
bahwa Teknologi Informasi organisasi mendukung organisasi dalam pencapaian tujuan.
Keberhasilan penerapan IT Governance tersebut sangat tergantung pada komitmen
seluruh unit kerja di Bank, baik penyelenggara maupun pengguna Teknologi Informasi.
Penerapan IT Governance dilakukan melalui penyelarasan Rencana Strategis
Teknologi Informasi dengan strategi bisnis Bank Mandiri, optimalisasi pengelolaan
sumber daya, pemanfaatan Teknologi Informasi (IT value delivery), pengukuran kinerja
dan penerapan manajemen risiko yang efektif.
aaaaaUntuk dapat menerapkan manajemen risiko yang efektif, diperlukan keterlibatan
dan pengawasan Dewan Komisaris dan Direksi, penyusunan dan penerapan kebijakan
dan prosedur terkait Teknologi Informasi, serta proses identifikasi, pengukuran,

Kelompok 5 9A BPKP 2
pemantauan dan pengendalian risiko yang berkesinambungan. Selain itu, kedepan
Bank Mandiri dituntut pula untuk mengantisipasi kebutuhan akan infrastruktur Teknologi
Informasi yang memadai dalam rangka menghadapi implementasi Basel II.

Pemanfaatan TI oleh Bank Mandiri

1. Enterprise Resource Planning Systems.
ERP adalah sebuah sistem software yang membantu bank mandiri dalam meng-
integrasikan seluruh proses bisnis dalam satu database. Keuntungan perusahaan
dalam mengimplementasikan ERP salah satunya adalah online real time
processing, sehingga pengambilan keputusan dapat dilakukan sewaktu-waktu. Bank
Mandiri yang memiliki beberapa proses bisnis tentu amat bergantung dengan
adanya ERP ini.
2. Electronic Data Interchange
EDI adalah proses transfer data secara elektronik antar satu atau beberapa pihak
dengan standar format yang disetujui. Maksud dari standar format yang disetujui
adalah data yang akan dikirim harus disesuaikan/dienkripsi dengan format standar
yang berlaku dan juga disetujui oleh penerima. Penyesuaian ke dalam format
standar tersebut bisa menggunakan software khusus yang dikenal sebagai
translation software. Selain lebih cepat, EDI juga dapat menghemat baik dari segi
waktu maupun biaya, karena proses manual yang terjadi pada pengiriman dokumen
fisik tidak diperlukan lagi. EDI merupakan salah satu teknologi paling awal yang
digunakan dalam Supply Chain Management (SCM). Alur bisnis yang terjadi antara
perusahaan dengan trading partner maupun supplier menjadi lebih mudah dan
cepat dengan adanya EDI. Bentuk pengaplikasian EDI di Bank Mandiri salah
satunya adalah penyediaan fasilitas Mandiri Cash management bagi Mayora Indah
untuk meningkatkan kemudahan dan efisiensi dalam proses pembayaran ke pihak
ketiga. Mayora Indah dapat memanfaatkan jaringan elektronik (e-channel) Bank
Mandiri untuk melakukan pembayaran kepada vendor atau rekanan secara
langsung tanpa perlu datang ke bank atau menandatangani warkat perintah
pembayaran. Teknisnya, Mayora dapat mengirim instruksi transaksi pembayaran ke

Kelompok 5 9A BPKP 3
 Bank Mandiri secara real time online dengan aplikasi yang dihubungkan
dengan Enterprise Resource Planning (ERP) Mayora.
Layanan Perbankan Melalui Media Elektronik atau selanjutnya disebut Electronic
Banking (e-banking) adalah layanan yang memungkinkan nasabah Bank untuk
memperoleh informasi, melakukan komunikasi, dan melakukan transaksi perbankan
melalui media elektronik antara lain ATM, m-banking, electronic fund transfer, internet
banking.
Berikut adalah komponen kunci dalam pengembangan TI Bank Mandiri:
1. Rencana Strategis Teknologi Informasi (Information Technology Strategic Plan)
adalah dokumen yang menggambarkan visi dan misi Teknologi Informasi Bank,
strategi yang mendukung visi dan misi tersebut dan prinsip-prinsip utama yang
menjadi acuan dalam penggunaan Teknologi Informasi untuk memenuhi kebutuhan
bisnis dan mendukung rencana strategis jangka panjang.
2. Pusat Data (Data Center) adalah fasilitas utama pemrosesan data Bank yang terdiri
dari perangkat keras dan perangkat lunak untuk mendukung kegiatan operasional
Bank secara berkesinambungan.
3. Database adalah sekumpulan data komprehensif dan disusun secara sistematis,
dapat diakses oleh pengguna sesuai wewenang masing-masing, dan dikelola oleh
database administrator.
4. Disaster Recovery Center (DRC) adalah fasilitas pengganti pada saat Pusat Data
(Data Center) mengalami gangguan atau tidak dapat berfungsi antara lain karena
tidak adanya aliran listrik ke ruang komputer, kebakaran, ledakan atau kerusakan
pada komputer, yang digunakan sementara waktu selama dilakukannya pemulihan
Pusat Data Bank untuk menjaga kelangsungan kegiatan usaha (business
continuity).
5. Business Continuity Plan (BCP) adalah kebijakan dan prosedur yang memuat
rangkaian kegiatan yang terencana dan terkoordinir mengenai langkah-langkah
pengurangan risiko, penanganan dampak gangguan/bencana dan proses pemulihan
agar kegiatan operasional Bank dan pelayanan kepada nasabah tetap dapat
berjalan.

Kelompok 5 9A BPKP 4
6. Pemrosesan Transaksi Berbasis Teknologi adalah kegiatan berupa penambahan,
perubahan, penghapusan, dan/atau otorisasi data yang dilakukan pada sistem
aplikasi yang digunakan untuk memproses transaksi.
TI selain memiliki berbagai kelebihan namun juga memiliki berbagai resiko yang apabila
tidak di mitigasi dengan baik, risiko akibat TI bisa berakibat fatal bagi kelangsungan
organisasi, apalagi dalam organisasi perbankan yang menyimpan dana masyarakat.

IT Governance Framework

aaaaaDari diagram framework di atas dapat dijelaskan bahwa terdapat 5 komponen

penting dalam sistem IT Governance yang efektif yaitu :
- Organization and Governance Structures
Struktur organisasi yang jelas, sifat operasional komponen perusahaan, dan bagaimana
di dalam proses perusahaan berkomunikasi satu sama lainnya sangat penting terkait
dengan fungsi TI untuk menyediakan jenis dan tingkat yang diperlukan layanan dalam
rangka mencapai tujuan perusahaan. Selain itu, struktur pemerintahan harus sejajar

Kelompok 5 9A BPKP 5
dengan struktur organisasi.
- Executive Leadership & Support
Dewan, CEO, CIO, dan anggota tim manajemen senior lainnya harus menetapkan visi
yang jelas untuk memahami organisasi dan berkomunikasi bagaimana TI mendukung
dan memungkinkan perusahaan untuk mencapai tujuannya, yang pada gilirannya
memungkinkan ROI yang lebih efektif pada belanja TI. Dengan demikian TI dapat
berperan dalam perencanaan strategis perusahaan. Tidak hanya sebagai belanja biaya
dari perusahaan tersebut.
- Service Delivery & Measurement
Pengukuran ini memungkinkan manajemen TI untuk memahami bagaimana kinerja jika
dibandingkan dengan rencana strategis, dan untuk lebih memahami bagaimana untuk
mengelola biaya jasa pengiriman secara lebih efektif dengan menggunakan IT oleh unit
organisasi, bidang usaha, dll.
- IT Organization & Risk Management
Keberhasilan TI sangat tergantung pada arah yang diberikan oleh dewan, CEO, dan
anggota lainnya manajemen senior. Arah ini dibangun ke dalam dan dikomunikasikan
melalui rencana strategis organisasi dan struktur.
- Strategic & Operational Planning
Rencana strategis mencerminkan bagaimana sebuah TI mengambil peran dan
tanggung jawab dalam usaha perusahaan mencapai tujuan. Rencana operasi sendiri
merupakan mekanisme bagaimana TI mendukung dan memungkinkan pencapaian
tujuan yang ditetapkan dalam rencana strategis.

IT Controls
aaaaaBank melaksanakan verifikasi terhadap akurasi dan kelengkapan dari transaksi
dan melaksanakan prosedur otorisasi, sesuai dengan ketentuan intern. Kegiatan
pengendalian sistem informasi dapat digolongkan dalam dua kriteria, yaitu
pengendalian umum dan pengendalian aplikasi.
»≫ Pengendalian umum (general control) meliputi pengendalian terhadap operasional
pusat data, sistem pengadaan dan pemeliharaan software,pengamanan akses, serta

Kelompok 5 9A BPKP 6
pengembangan dan pemeliharaan sistem aplikasi yang ada. Pengendalian umum ini
diterapkan terhadap mainframe, server, dan users workstation, serta jaringan internal–
eksternal. Salah satu bentuk pengendalian umum adalah dibentuknya Disaster
Recovery Center (DRC) sebagai alternative ketika Data Center tidak bisa diakses.
»≫ Pengendalian aplikasi (application controls) diterapkan terhadap program yang
digunakan Bank dalam mengolah transaksi dan untuk memastikan bahwa semua
transaksi adalah benar, akurat dan telah diotorisasi secara benar. Berikut adalah bentuk
pengendalian aplikasi pada Bank Mandiri:
 Menggunakan sistem keamanan standar internasional dengan enkripsi SSL 128
bit (Secure Socket Layer 128 bit Encryption) yang akan mengacak data
transaksi
 Pengamanan pintu akses dengan Firewall (ISP>Web Server>Data Server>Host)
 Proses pendaftaran melalui ATM Mandiri atau Cabang Bank Mandiri
 Proses aktivasi di www.bankmandiri.co.id dengan Access ID & Access Code
 Mouse over Warning Access, pada saat login untuk mengingatkan web site
palsu
 Verifikasi user dengan User ID & PIN Internet Banking pada saat login
 Auto Logoff (Session Time Out ) jika Nasabah lupa log-out
 Seluruh aktifitas nasabah di Internet Banking Mandiri akan tercatat oleh sistem
 Nasabah dapat melihat seluruh aktifitas yang dilakukan pada Internet Banking
Mandiri selama jangka waktu tertentu
 Notifikasi melalui e-mail dan SMS* untuk setiap transaksi yang dilakukan
 Limit transaksi per hari hingga Rp. 10.000.000,-
 Verifikasi transaksi dengan Token PIN Mandiri
aaaaaPengendalian atas tata kelola TI termasuk di dalamnya adalah kebijakan bank
mandiri atas TI, salah satunya adalah kebijakan kerahasiaan nasabah yang
menggunakan Internet Banking Mandiri. Aplikasi Internet Banking Mandiri dijamin
kerahasiaan dan keamanannya, dalam hal ini Bank Mandiri menggunakan teknologi
enkripsi Secure Socket Layer (SSL) 128 bit, yang akan melindungi komunikasi antara
komputer Nasabah dengan server Bank Mandiri. Untuk menambah keamanan

Kelompok 5 9A BPKP 7
digunakan metode time out session, dimana setelah 10 menit tanpa aktivitas Nasabah,
maka akses akan tidak aktif lagi.
aaaaaSelain itu Bank Mandiri akan menjaga kerahasian data pengguna Internet
Banking Mandiri, dan hanya orang tertentu yang berhak untuk mengakses informasi
tersebut untuk digunakan sebagaimana mestinya (dalam hal ini Bank Mandiri akan
selalu mengingatkan karyawan akan pentingnya menjaga kerahasian data Nasabah).
Bank Mandiri tidak akan memperlihatkan/menjual data tersebut kepada pihak ke tiga.
Bank Mandiri juga tidak secara otomatis mengumpulkan informasi data pengunjung
Internet Banking Mandiri, hanya beberapa informasi umum yang akan dikumpulkan dan
digunakan antara lain :
 Nama domain yang akan digunakan Nasabah untuk mengakses internet
 Internet address yang digunakan untuk mengakses web site Bank Mandiri
 Browser yang digunakan
 Hari, tanggal & waktu mengakses internet
 Pilihan yang ditentukan oleh Nasabah untuk memberikan informasi kepada
Bank, antara lain jenis rekening
aaaaaUntuk dapat mengakses Internet Banking Mandiri Nasabah harus memasukkan
terlebih dahulu User ID dan PIN, dan untuk keamanan Nasabah diharuskan
memasukkan kembali PIN untuk setiap transaksi yang bersifat finansial.

IT Risk Management
aaaaaSelain manfaat dan keunggulan yang diperoleh dari penggunaan TI dalam
pelaksanaan operasional bank, tentunya terdapat risiko yang dapat menyebabkan
timbulnya kerugian pada bank dan nasabah. Risiko yang terkait dengan pemanfaatan
TI oleh bank, antara lain, risiko reputasi, risiko operasional, risiko hukum, dan risiko
perbankan lainnya seperti likuiditas dan kredit. Risiko-risiko tersebut timbul karena ada
kesalahan TI, misalnya:
1. Jaringan terganggu akibat tindakan seseorrang atau force majure sehingga EDI
tidak dapat berjalan dengan baik
2. Skimming di mesin ATM

Kelompok 5 9A BPKP 8
3. Informasi hasil TI tidak valid, sehingga menyebabkan kesalahan dalam
pengambulan keputusan
4. Database disalahgunakan, dan lain sebagainya.
aaaaaBerikut adalah daftar Top Risk yang dilansir oleh auditor internal bank mandiri
dimana hampir semua jenis risiko mengandung unsur TI di dalamnya.

Suatu resiko perlu didefinisikan dalam suatu pendekatan yang sistematis, sehingga
pengaruh dari resiko yang timbul atas pengembangan teknologi informasi pada suatu

Kelompok 5 9A BPKP 9
organisasi dapat diantisipasi dan di identifikasi sebelumnya. Mendefinisikan suatu
resiko dalam pengembangan teknologi informasi pada suatu organisasi terkait dengan
Siklus Hidup Pengembangan Sistem (System Development Life Cycle [SDLC]), dimana
fase-fase penerapan SDLC dalam pengembangan teknologi informasi harus
mengakomodir risiko-risiko terkait sehingga mampu di mitigasi dengan baik.
Berdasarkan Peraturan Bank Indonesia no. 9/15/PBI/2007, untuk meminimalkan risiko-
risiko potensial dalam penggunaan TI, maka penerapan manajemen risiko, paling
kurang, mencakup :
a. Pengawasan aktif dari Dewan Komisaris dan Direksi,
b. Kecukupan kebijakan dan prosedur dalam penggunaan TI,
c. Kecukupan proses identifikasi, pengukuran, pemantauan, dan pengendalian
risiko penggunaan TI,
d. Sistem pengendalian intern atas penggunaan TI.
aaaaaDalam hal penerapannya, manajemen risiko harus dilakukan secara terintegrasi
di dalam setiap tahapan penggunaan TI dimulai dari proses perencanaan,
pengembangan/pengadaan, operasional, pemeliharaan, hingga penghentian dan
penghapusan sumber daya TI. Proses manajemen risiko di bank dilakukan, minimal,
terhadap aspek-aspek yang terkait pengembangan dan pengadaan TI, operasional TI,
jaringan komunikasi, pengamanan informasi, Business Continuity Plan (BCP), end user
computing, electronic banking, dan penggunaan pihak penyedia jasa TI (PBI no.
9/15/PBI/2007).
aaaaaPelaksanaan audit oleh bank diperlukan untuk mengawasi dan mengendalikan
operasional TI, dan bertujuan untuk memastikan bahwa kebijakan dan prosedur
penggunaan TI telah tersedia dan dilaksanakan secara memadai. Audit, baik secara
internal maupun eksternal, harus mencakup penggunaan TI yang diselenggarakan
sendiri oleh bank maupun oleh penyedia jasa TI.

Kelompok 5 9A BPKP 10
Peran Auditor Internal Bank Mandiri
aaaaaUntuk memenuhi tanggung jawab terkait TI, fungsi audit internal setidaknya
harus:
1. Mengidentifikasi dan melakukan risk assessment atas risiko TI organisasi
2. Memiliki auditor dengan kompetensi memadai di bidang TI dan mampu
menggunakan teknik audit berbasis teknologi
3. Memasukkan TI organisasi sebagai bagian dari rencana audit tahunan
4. Melakukan Assessment terhadap IT Governance, management, dan technical
controls
aaaaaBeberapa risiko yang menjadi fokus audit (Top 6 Risks), akan dipantau secara
bankwide melalui mekanisme continuous auditing sehingga deteksi atas indikasi
penyimpangan dapat diketahui lebih dini. Deteksi atas penyimpangan tersebut dapat
diketahui dengan memanfaatkan indikator risiko yang melebihi threshold yang
ditetapkan. Hasil dari continuous auditing akan disampaikan kepada unit terkait untuk
segera dilakukan koreksi, sementara itu jika memerlukan evaluasi lebih jauh maka
dapat dilakukan on site dan surprised audit oleh internal audit. Dengan menerapkan
strategi continuous auditing maka coverage audit atas risiko-risiko tertentu dapat
dilakukan secara luas dan intensif. Terhadap risiko utama yang tidak dapat dipantau
melalui mekanisme continuous auditing, maka dilakukan audit secara on site ataupun
on desk.

Kelompok 5 9A BPKP 11