MAKALAH

PENERAPAN MANAJEMEN SISTEM KONTROL (INTERNET

BANKING DAN SISTEM PENGENDALIAN INTERNAL) PADA PT.
BANK MANDIRI (Persero) TBK
Makalah Disusun Guna Memenuhi Tugas Audit Sistem Informasi
Dosen Pengampu : Wahyu Wahid Adi W, M.Si

Disusun oleh :
Muhammad Rizqi Purnama (4317098)
Kelas A

JURUSAN AKUNTANSI SYARIAH

FAKULTAS EKONOMI BISNIS ISLAM
INSTITUT AGAMA ISLAM NEGERI (IAIN)
PEKALONGAN
2020
 BAB I

PENDAHULUAN

A. Latar Belakang
Bank Mandiri merupakan salah satu perbankan di Indonesia. Bank ini
berdiri pada 02 Oktober 1998 dan mulai beroperasi pada 1 Agustus 1999.
Saham bank Mandiri mayoritas dimiliki oleh Negara Republik Indonesia yaitu
sebesar 60% kepemilikan. Seiring berjalannya waktu selama 20 tahun lebih
berdiri dan melaksanakan sistem perbankan, bank ini tumbuh menjadi salah
satu bank terbesar di Indonesia. Oleh karena itu banyak nasabah ataupun
masyarakat yang membuka akun di Bank Mandiri baik itu untuk menyimpan,
menginvestasikan, atau bahkan meminjam uang ke Bank Mandiri.

Dengan semakin banyaknya nasabah yang membuka rekening di Bank

Mandiri, tentu perusahaan harus memberikan layanan terbaik agar nantinya
nasabah puas dengan kinerja perusahaan. Internet Banking merupakan layanan
yang saat ini banyak digunakan karena kepraktisannya dalam melakukan
transaksi. Tidak perlu keluar rumah, hanya dengan modal jaringan internet
saja kita bisa bertransaksi apa saja. Salah satu aspek yang harus diperhatikan
oleh Bank Mandiri adalah keamanan akun atau rekening nasabah. Saat ini kita
cukup sering mendengar kasus seseorang yang ATM nya dibobol atau saldo
mereka bahkan hilang dengan sendirinya, akun yang diretas atau sadap dan
lain sebagainya. Melihat beberapa fakta tersebut, penulis tertarik untuk
membahas tentang bagaimana sistem manajemen keamanan interner banking
pada Bank Mandiri beserta dengan sistem pengendalian internal PT. Bank
Mandiri (Persero) Tbk.

B. Rumusan Masalah
1. Bagaimana Sistem Pengendalian Internal pada Bank Mandiri?
2. Bagaimana Sistem Manajemen Keamanan pada Internet Banking atau
layanan perbankan online?
3. Bagaimana contoh kasus dari penyimpangan system Internet Banking pada
Bank Mandiri serta penngendaliannya?

2
C. Tujuan Masalah
1. Mengetahui Sistem Pengendalian Internal pada Bank Mandiri
2. Mengetahui Sistem Manajemen Keamanan pada Internet Banking atau
layanan perbankan online.
3. Mengetahui contoh kasus dari Bank Mandiri ketika sistem perbankannya
rusak atau error.

3
 BAB II

PEMBAHASAN

A. Sistem Pengendalian Internal Bank Mandiri

Pelaksanaan Good Corporate Governance yang berkelanjutan dan
prinsip kehati-hatian dalam pengurusan dan pengelolaan Bank diperkuat
dengan komitmen Bank Mandiri untuk meningkatkan etika kerja dan
integritas yang tinggi serta menciptakan suatu budaya yang menekankan
kepada pentingnya penerapan Sistem Pengendalian Internal (SPI) yang handal
dan efektif.

Penerapan Sistem Pengendalian Internal secara efektif membantu

Bank dalam menjaga aset, menjamin tersedianya informasi dan laporan yang
akurat, meningkatkan kepatuhan Bank terhadap ketentuan dan peraturan
perundang-undangan yang berlaku, serta mengurangi risiko terjadinya
kerugian, penyimpangan dan pelanggaran terhadap prinsip kehati-hatian.1

1. Kerangka Sistem Pengendalian Internal

Kerangka sistem pengendalian internal yang diadopsi Bank
Mandiri adalah konsep Three Lines of Defense (Tiga Lapis Pertahanan)
yang merupakan sebuah implementasi terkini dari strategi pengendalian
yang sesuai dengan sistem pengawasan COSO – Internal Control
Framework. Konsep ini merupakan kolaborasi peran on going monitoring
dan separate monitoring dengan melibatkan unit bisnis sebagai pengelola
aspek kontrol internal di unit kerja dan menunjuk unit yang berperan
sebagai Quality Assessment, comply unit , inspeksi, Risk Management
serta peran Internal Audit dalam rangkaian defence of control.

1
Annual Report Bank Mandiri Tahun 2015-2016

4
Keterangan :

a. Unit Bisnis/Operasi (first line of defense) : Sebagai pemilik risiko yang

berperan mengelola aspek kontrol internal di unit kerjanya,
memastikan lingkungan pengendalian yang kondusif serta konsistensi
pelaksanaan kebijakan dan prosedur manajemen risiko.
b. Unit Risiko dan Kepatuhan (second line of defense) : Mengembangkan
dan memantau implementasi pengelolaan risiko perusahaan secara
keseluruhan, pengawasan agar fungsi bisnis melaksanakan kebijakan
manajemen risiko dan prosedur-prosedur standard operasionalnya
sesuai koridor yang telah ditetapkan serta memantau dan melaporkan
risiko-risiko perusahaan secara menyeluruh kepada organ yang
memiliki akuntabilitas tertinggi di perusahaan.
c. Unit Internal Audit (third line of defense) : Sebagai Independent
Assurance yang berperan melakukan review dan evaluasi terhadap
rancang bangun dan implementasi manajemen risiko secara
keseluruhan serta memastikan bahwa pertahanan lapis pertama dan
lapis kedua berjalan sesuai dengan yang diharapkan.

Dengan penerapan three lines of defense tersebut diharapkan

terdapat penguatan sistem pengendalian intern yang dimiliki Bank Mandiri

5
 sebagai hasil kerjasama seluruh lini jajaran Bank Mandiri mulai dari first,
second maupun third lines of defense.

2. Kompomen Sistem Pengendalian Internal Bank Mandiri

Sebagai proses yang dijalankan oleh seluruh jajaran Bank, maka

Sistem Pengendalian Intern diterapkan dalam penetapan strategi di seluruh
organisasi dan didesain untuk dapat mengidentifikasi kemungkinan
terjadinya suatu kejadian yang dapat mempengaruhi perusahaan, dan untuk
mengelola risiko agar tetap berada dalam batas toleransi (risk appetite),
untuk memberikan keyakinan yang memadai dalam rangka pencapaian
tujuan perusahaan. Sistem Pengendalian Intern terdiri dari 8 komponen
yang satu sama lain saling berkaitan dan menentukan efektivitas
penerapannya, yaitu:

a. Internal Environment
Internal environment menjadi dasar bagi Manajemen dalam
menilai risiko dan control serta bagaimana menyikapinya. Hal
ini menjadi dasar dan faktor pendorong berjalannya tujuh
komponen Sistem Pengendalian Intern lainnya.
b. Objective Setting
Bank menetapkan sasaran (objective setting) sebagai
persyaratan bagi proses event identification, risk assessment
dan risk response yang efektif.
c. Event Identification
Manajemen mengidentifikasi kejadian yang berpotensi
mempengaruhi kemampuan Bank untuk mengimplementasikan
strategi dan mencapai sasaran secara efektif. Identifikasi
tersebut dilakukan terhadap kejadian-kejadian yang
diperkirakan berdampak negatif (risiko) yang membutuhkan
penilaian dan respon Bank. Identifikasi juga dilakukan terhadap
kejadiankejadian yang diperkirakan berdampak positif yang
merupakan peluang bagi Manajemen dalam penyusunan
strategi guna mencapai sasaran Bank. Manajemen juga

6
 mempertimbangkan seluruh aspek organisasi dalam
mengidentifikasi potential events.
d. Risk Assessment
Penilaian risiko merupakan suatu rangkaian tindakan yang
dimulai dari identifikasi, analisis dan pengukuran risiko Bank
untuk mencapai sasaran yang ditetapkan. Penilaian risiko
dilakukan terhadap seluruh jenis risiko yang melekat pada
setiap proses/aktivitas yang berpotensi merugikan Bank.
e. Risk Response
Manajemen menetapkan tindakan-tindakan untuk merespon
risiko berdasarkan pada penilaian terhadap risiko dan kontrol
yang relevan.
f. Control Activities
Aktivitas kontrol (control activities) adalah meliputi kegiatan
pengendalian dan pemisahan fungsi (segregation of duties).
g. Information & Communication
Bank memiliki Sistem Informasi yang dapat menghasilkan
laporan atau menyediakan data/informasi yang cukup dan
menyeluruh mengenai kegiatan usaha, kondisi keuangan,
penerapan manajemen risiko, kepatuhan terhadap ketentuan
dan peraturan yang berlaku, informasi pasar atau kondisi
eksternal dan kondisi yang diperlukan dalam rangka
pengambilan keputusan yang tepat. Bank memiliki Sistem
Informasi yang dapat menghasilkan laporan atau menyediakan
data/informasi yang cukup dan menyeluruh mengenai kegiatan
usaha, kondisi keuangan, penerapan manajemen risiko,
kepatuhan terhadap ketentuan dan peraturan yang berlaku,
informasi pasar atau kondisi eksternal dan kondisi yang
diperlukan dalam rangka pengambilan keputusan yang tepat.
h. Monitoring
Monitoring meliputi kegiatan pemantauan serta perbaikan
kelemahan dan tindakan koreksi penyimpangan.

7
 3. Pengendalian atas Pelaksanaan Operasional dan Pelaporan Keuangan
Pelaksanaan operasional dan pelaporan keuangan secara umum
telah dilakukan secara sistem. Pengendalian atas pelaksanaan operasional
dan pelaporan keuangan dilakukan melalui :
a. Penyediaan Kebijakan Akuntansi Bank, Standar
Pedoman/Petunjuk Teknis Akuntansi dan Standar
Pedoman/Petunjuk Operasional yang lain.
b. Review dan supervisi keakuratan dan kelengkapan
data/pembukuan transaksi secara berjenjang, yang dimulai dari
unit bisnis/operasi sebagai pemilik transaksi, unit accounting
dan unit reviewer (second line of defense).
c. Regulatory reporting menjadi subjek audit third line of defense
(Internal Audit).
Dalam penyusunan laporan keuangan, unit kerja Akuntansi
melakukan prosedur analitis atas kewajaran laporan keuangan yang
disusun sebelum disampaikan kepada Manajemen, Dewan Komisaris dan
Regulator serta publik. Untuk memastikan keakuratan data dilakukan
program Data Quality Assurance (DQA) dan data cleansing serta
monitoring kewajaran saldo akun Laporan Keuangan oleh second line of
defense di region dan unit kerja lainnya serta audit oleh Internal Audit.

B. Sistem Manajemen Keamanan Internet Banking Bank Mandiri

Internet saat ini sudah bisa dijangkau oleh siapapun. Hal ini yang
menjadi latar belakang perbankan di Indonesia banyak memberikan produk
ataupun layanan dalam bentuk online atau aplikasi internet, dan Bank Mandiri
salah satu yang memberikan atau menggunakan internet sebagai layanan
perbankannya.

Dengan digunakannya internet memang mempermudah penggunaan

layanan perbankan, namun hal ini justru rentan akan adanya penyimpangan
atau tindakan criminal berbasis internet. Hal-hal seperti sadap, hacking,

8
pengambilan data nasabah dan lain sebagainya menjadi semakin marak di
kalangan para nasabah sebagai korban dan pelaku criminal sebagai
tersangkanya.

Sebagai salah satu bank terbesar di Indonesia dan dengan banyaknya

nasabah, Bank Mandiri memiliki beberapa protocol keamanan untuk
menjamin kerahasiaan dan kemanan akun nasabah. dalam hal ini Bank
Mandiri menggunakan teknologi enkripsi Secure Socket Layer (SSL) 128 bit,
yang akan melindungi komunikasi antara komputer nasabah dengan server
Bank Mandiri. Untuk menambah keamanan digunakan metode time
outsession, dimana setelah 10 menit tanpa aktivitas Nasabah, maka akses
akan tidak aktif lagi.
Selain itu Bank Mandiri akan menjaga kerahasian data pengguna
Internet Banking Mandiri, dan hanya orang tertentu yang berhak untuk
mengakses informasi tersebut untuk digunakan sebagaimana mestinya
(dalam hal ini Bank Mandiri akan selalu mengingatkan karyawan akan
pentingnya menjaga kerahasian data Nasabah). Bank Mandiri tidak akan
memperlihatkan/menjual data tersebut kepada pihak ke tiga.
Bank Mandiri juga tidak secara otomatis mengumpulkan informasi
data pengunjung Internet Banking Mandiri, hanya beberapa informasi
umum yang akan dikumpulkan dan digunakan antara lain :
a. Nama domain yang akan digunakan Nasabah untuk mengakses
internet
b. Internet address yang digunakan untuk mengakses web site Bank
Mandiri
c. Browser yang digunakan
d. Hari, tanggal & waktu mengakses internet
e. Pilihan yang ditentukan oleh Nasabah untuk memberikan informasi
kepada Bank, antara lain jenis rekening.
Untuk dapat mengakses Internet Banking Mandiri Nasabah harus
memasukkan terlebih dahulu User ID dan PIN, dan untuk keamanan
Nasabah diharuskan memasukkan kembali PIN untuk setiap transaksi
yang bersifat finansial.

9
 Mengingat banyaknya variasi internet browser yang ada, dan internet
banking harus mengikuti keamanan masing-masing browser, maka saat ini
Bank Mandiri menyediakan sarana internet banking yang lebih cocok
diakses dengan menggunakan Netscape Communicator 4.7 atau Microsoft
Internet Explorer versi 5 .01 atau versi terakhir.

Internet Banking menggunakan beberapa metode keamanan terkini

seperti:

a. Penggunaan protokol Hyper Text Transfer Protokol Secure (HTTPS),

yang membuat pengiriman data dari server ke IS`P dan klien berupa
data acak yang terenkripsi.
b. Penggunaan teknologi enkripsi Secure Socket Layer (SSL) 128 bit, dari
Verisign. Dengan SSL inilah, transfer data yang terjadi harus melalui
enkripsi SSL pada komunikasi tingkat socket.
c. Penggunaan user ID dan PIN untuk login ke layanan Internet Banking
ini.
d. Penggunaan metode time out session, yang menyebabkan bila setelah
10 menit nasabah tidak melakukan aktivitas apapun, akses tidak
berlaku lagi.
e. Penggunaan PIN Mandiri untuk setiap aktivitas perbankan. PIN ini di-
generate dari Token PIN Mandiri2

C. Contoh Kasus Dari Penyimpangan System Internet Banking Pada Bank

Mandiri Serta Penngendaliannya
Pada dasarnya layanan Internet Banking menggunakan
Internetsebagai media komunikasi, maka keamanan dari layanan Internet
Banking bergantung kepada keamananan dari Internet. Internet pada
mulanya dikembangan di lingkungan akademis (pendidikan dan
penelitan).
Teknologi Internet yang digunakan saat ini bergantung kepada
sebuah teknologi yang disebut IP (Internet Protocol) versi 4.IPv4 ini
2
Annisya, Rialda, and Maynina Norshela Hastuti. “Security System Layanan Internet Banking PT
BANK MANDIRI (Persero) Tbk.” Jurnal Sistem Komputer 2.2 (2012).

10
memiliki beberapa kelemahan ditinjau dari segi keamanan yang sudah
diperbaiki di versi 6 (IP v6).Namun sayangnya IPv6 belum lazim
dipergunakan.
a. Ancaman Internet Banking
Secara umum, hal yang paling sering diserang para
penyusup untuk masuk ke dalam sebuah situs yang terproteksi
adalah dengan mendapatkan akses masuknya, atau sisi
Autentikasi.Karena hanya dengan mengetahu user ID dan
password kita dapat melakukan apapun yang kita inginkan.
Dalam pembahasan keamanan layanan ini, penulis akan mencoba
melakukannya dengan dua cara, yaitu dengan menggunakan
perangkat lunak keyloggerdan proses sniffing.

1. Active dan Passive Snifing

Snifing merupakan sebuah aksi penyadapan
paket data yang dikirimkan sebuah komputer ke server
tertentu. Terdapat dua jenis aksi sniffing, yaitu
passive dan active. Perbedaannya hanyalah jika active
melakukan aksi perubahan paket data dalam
melakukan sniffing, sedangkan passive tidak.
Perlu diperhatikan bahwa metode sniffingjenis
ini dapat dikategorikan sebagai cyberlaw, jika
penggunaannya tidak pada tempatnya.

2. Keylogger
Keyloggermerupakan sebuah produk yang
dapat mengetahui aktivitas apa saja yang terjadi pada
komputer yang isisipinya. Pembuat produk ini
berargumen bahwa keylogger sangat berguna untuk
memantau perkembangan kerja karyawan perusahaan,
mengetahui apa yang dilakukan anak ketika brosing di
Internet dan sebagainya.

11
 Jenis keylogger ada 2 yaitu, perangkat lunak
&hardware. Keduanya mempunyai tujuan yang sama
dengan karakteristik yang berbeda. Jenis hardware
biasanya dipasang secara fisik pada komputer,
merekam segala aktivitas yang diketikkan
keyboard.Sedangkan jenis perangkat lunak, diinstal di
sistemoperasi kompueter dan dijalankan, biasanya
secara tersembunyi.

3. Typo site
Pelaku membuat nama situs palsu yang sama
persis dengan situs asli dan membuat alamat yang
mirip dengan situs asli. Pelaku menunggu kesempatan
jika ada seseorang korban salah mengetikan alamat
dan sirus palsu buatannya. Jika hal ini terjadi maka
pelaku akan mudah memperoleh informasi user dan
password korbannya dan dapat dimanfaatkan untuk
merugikan korban.

4. Brute force attacking

Brute force attack atau dalam bahasa Indonesia
disebut juga dengan serangan brute force ini adalah
sebuah teknik serangan terhadap sebuah sistem
keamanan komputer yang menggunakan percobaan
terhadap semua kunci password yang memungkinkan
atau istilah gampangnya mungkin menggunakan
Random password atau password acak. Pendekatan
inipada awalnya merujuk pada sebuah program
komputer yang mengandalkan kekuatan pemrosesan
komputer dibandingkan kecerdasan manusia.

5. Web deface
Sistem exploitation dengan tujuan

12
 menggantikan tampilan halaman muka semua situs.
Cara kerja web deface adalah dengan
melakukanperubahan pada halaman web depan pada
situs-situs tertentu, dilakukan oleh para hacker atau
cracker untuk mengganggu informasi yang
dimunculkan pada halaman situs yang dimaksud.
Contohnya adalah dengan menambahkan gambar,
tulisan ke suatu web milik orang lain tanpa
sepengetahuan adminnya.

6. Phissing
Suatu bentuk penipuan yang dicirikan dengan
percobaan untuk mendapatkan informasi peka seperti
kata sandi dan username dengan menyamar sebagai
orang atau bisnis yang terpercaya dalam sebuah
komunikasi resmi, seperti email.

7. Denial of service
Denial of service(DoS) attack merupakan
sebuah usaha (dalam bentuk serangan) untuk
melumpuhkan sistem yang dijadikan target sehingga
sistem tersebut tidak dapat menyediakan servis-
servisnya(denial of servis). Cara untuk melumpuhkan
dapat bermacam-macam dan akibatnyapun dapat
beragam. Sistem yang diserang dapat menjadi hang
atau crash, tidak berfungsi, atau menurunnya kinerja
sistem karena beban CPU menjadi tingi.

8. Virus, worm, Trojan

Menyebarkan virus, worm, maupun Trojan dengan
tujuan untuk melumpuhkan sistem komputer, memperoleh
data-data dari sistem korban.

13
b. Pengendalian Ancaman Internet Banking
Pengendalian potensi penyerangan keamanan sitem
internet banking, diantaranya;
1. IP spoofing diantisipasi dengan penyaringan oleh router.
2. User name spoofing, sistem otentikasi mencegah
seseorang dari berpura-pura menjadi user lain dengan
memerlukan sandi untuk mengakses bank, transmisi
semua password terenkripsi, dan menggunakan
encrypted one-time"cookies" untuk mempertahankan
state yang telah disahkan
3. Upaya untuk Crack Database Otentikasi (Attempts to
Crack Authentication Database),Informasi account
pelanggan yang disimpan pada database server yang
terlindungi di belakang firewall dan database tidak dapat
di download dari Internet.
4. Serangan berbasis web server (Web Server Based
Attacks),Serangan terhadap Netscape Commerce Server
adalah digagalkan karena lingkungan chroot-ed dan
karena proses “outside” yang tidak bisa melihat apa-apa
pada proses "inside".Firewall hanya mengizinkan mail
untuk melewati dan menggunakan SMTP filter. Setiap
mesin minimal dikonfigurasi untuk hanya melakukan
tugasnya, dan tidak lebih. Pengamanan di atas pada
prinsipnya merupakan usaha untuk memenuhi aspek
keamanan seperti authentication, confidentiality /
privacy, non- repudiation, dan availability. Adanya
pengamanan ini tidak membuat sistem menjadi 100%
aman akan tetapi dapat membuat sistem dipercaya
(trusted). Potensi lubang keamanan dapat dianggap
sebagai resiko. Maka masalah ini dapat diubah menjadi
masalah riskmanagement.

14
 BAB III

PENUTUP

A. Kesimpulan

Komponen pengendalian internal Bank Mandiri ada 8 yaitu Internal

Environment, Objectve Setting, Event Identification, Risk Assesment, Risk
Response, Control Activities, Information&Communication, dan
Monitoring. Bank Mandiri memiliki beberapa protocol keamanan untuk
menjamin kerahasiaan dan kemanan akun nasabah. dalam hal ini Bank
Mandiri menggunakan teknologi enkripsi Secure Socket Layer (SSL) 128 bit,
yang akan melindungi komunikasi antara komputer nasabah dengan server
Bank Mandiri.
Metode keamanan Internet Banking antar lain menggunakan protokol
Hyper Text Transfer Protokol Secure (HTTPS), Penggunaan teknologi
enkripsi Secure Socket Layer (SSL) 128 bit, dari Verisign, Penggunaan user
ID dan PIN untuk login ke layanan Internet Banking ini, Penggunaan metode
time out session, dan Penggunaan PIN Mandiri untuk setiap aktivitas
perbankan.

B. Saran
Sistem manajemen pengendalian dari Bank Mandiri sudah cukup baik jika
dilihat dari segi teknologi informasinya. Ada beberapa masukan yaitu untuk
mencegah terjadinya hardware keyloger, perusahaan bisa menggunakan
virtual keyboard untuk nasabah agar hasil ketik sebelumnya tidak terekam
oleh keylogger. Lalu para nasabah juga sebaiknya menghidari akses atau login
akun perbankan di tempat umum seperti warnet, dan tempat umum lainnya
agar tidak terjadi kebocoran data.

15
 DAFTAR PUSTAKA

Annisya, R. a. (2012). “Security System Layanan Internet Banking PT BANK

MANDIRI (Persero) Tbk.” . Jurnal Sistem Komputer.
Annual Report. (2015). PT. Bank Mandiri (Persero) Tbk, 721.

16