Disusun oleh :
Muhammad Rizqi Purnama (4317098)
Kelas A
PENDAHULUAN
A. Latar Belakang
Bank Mandiri merupakan salah satu perbankan di Indonesia. Bank ini
berdiri pada 02 Oktober 1998 dan mulai beroperasi pada 1 Agustus 1999.
Saham bank Mandiri mayoritas dimiliki oleh Negara Republik Indonesia yaitu
sebesar 60% kepemilikan. Seiring berjalannya waktu selama 20 tahun lebih
berdiri dan melaksanakan sistem perbankan, bank ini tumbuh menjadi salah
satu bank terbesar di Indonesia. Oleh karena itu banyak nasabah ataupun
masyarakat yang membuka akun di Bank Mandiri baik itu untuk menyimpan,
menginvestasikan, atau bahkan meminjam uang ke Bank Mandiri.
B. Rumusan Masalah
1. Bagaimana Sistem Pengendalian Internal pada Bank Mandiri?
2. Bagaimana Sistem Manajemen Keamanan pada Internet Banking atau
layanan perbankan online?
3. Bagaimana contoh kasus dari penyimpangan system Internet Banking pada
Bank Mandiri serta penngendaliannya?
2
C. Tujuan Masalah
1. Mengetahui Sistem Pengendalian Internal pada Bank Mandiri
2. Mengetahui Sistem Manajemen Keamanan pada Internet Banking atau
layanan perbankan online.
3. Mengetahui contoh kasus dari Bank Mandiri ketika sistem perbankannya
rusak atau error.
3
BAB II
PEMBAHASAN
1
Annual Report Bank Mandiri Tahun 2015-2016
4
Keterangan :
5
sebagai hasil kerjasama seluruh lini jajaran Bank Mandiri mulai dari first,
second maupun third lines of defense.
a. Internal Environment
Internal environment menjadi dasar bagi Manajemen dalam
menilai risiko dan control serta bagaimana menyikapinya. Hal
ini menjadi dasar dan faktor pendorong berjalannya tujuh
komponen Sistem Pengendalian Intern lainnya.
b. Objective Setting
Bank menetapkan sasaran (objective setting) sebagai
persyaratan bagi proses event identification, risk assessment
dan risk response yang efektif.
c. Event Identification
Manajemen mengidentifikasi kejadian yang berpotensi
mempengaruhi kemampuan Bank untuk mengimplementasikan
strategi dan mencapai sasaran secara efektif. Identifikasi
tersebut dilakukan terhadap kejadian-kejadian yang
diperkirakan berdampak negatif (risiko) yang membutuhkan
penilaian dan respon Bank. Identifikasi juga dilakukan terhadap
kejadiankejadian yang diperkirakan berdampak positif yang
merupakan peluang bagi Manajemen dalam penyusunan
strategi guna mencapai sasaran Bank. Manajemen juga
6
mempertimbangkan seluruh aspek organisasi dalam
mengidentifikasi potential events.
d. Risk Assessment
Penilaian risiko merupakan suatu rangkaian tindakan yang
dimulai dari identifikasi, analisis dan pengukuran risiko Bank
untuk mencapai sasaran yang ditetapkan. Penilaian risiko
dilakukan terhadap seluruh jenis risiko yang melekat pada
setiap proses/aktivitas yang berpotensi merugikan Bank.
e. Risk Response
Manajemen menetapkan tindakan-tindakan untuk merespon
risiko berdasarkan pada penilaian terhadap risiko dan kontrol
yang relevan.
f. Control Activities
Aktivitas kontrol (control activities) adalah meliputi kegiatan
pengendalian dan pemisahan fungsi (segregation of duties).
g. Information & Communication
Bank memiliki Sistem Informasi yang dapat menghasilkan
laporan atau menyediakan data/informasi yang cukup dan
menyeluruh mengenai kegiatan usaha, kondisi keuangan,
penerapan manajemen risiko, kepatuhan terhadap ketentuan
dan peraturan yang berlaku, informasi pasar atau kondisi
eksternal dan kondisi yang diperlukan dalam rangka
pengambilan keputusan yang tepat. Bank memiliki Sistem
Informasi yang dapat menghasilkan laporan atau menyediakan
data/informasi yang cukup dan menyeluruh mengenai kegiatan
usaha, kondisi keuangan, penerapan manajemen risiko,
kepatuhan terhadap ketentuan dan peraturan yang berlaku,
informasi pasar atau kondisi eksternal dan kondisi yang
diperlukan dalam rangka pengambilan keputusan yang tepat.
h. Monitoring
Monitoring meliputi kegiatan pemantauan serta perbaikan
kelemahan dan tindakan koreksi penyimpangan.
7
3. Pengendalian atas Pelaksanaan Operasional dan Pelaporan Keuangan
Pelaksanaan operasional dan pelaporan keuangan secara umum
telah dilakukan secara sistem. Pengendalian atas pelaksanaan operasional
dan pelaporan keuangan dilakukan melalui :
a. Penyediaan Kebijakan Akuntansi Bank, Standar
Pedoman/Petunjuk Teknis Akuntansi dan Standar
Pedoman/Petunjuk Operasional yang lain.
b. Review dan supervisi keakuratan dan kelengkapan
data/pembukuan transaksi secara berjenjang, yang dimulai dari
unit bisnis/operasi sebagai pemilik transaksi, unit accounting
dan unit reviewer (second line of defense).
c. Regulatory reporting menjadi subjek audit third line of defense
(Internal Audit).
Dalam penyusunan laporan keuangan, unit kerja Akuntansi
melakukan prosedur analitis atas kewajaran laporan keuangan yang
disusun sebelum disampaikan kepada Manajemen, Dewan Komisaris dan
Regulator serta publik. Untuk memastikan keakuratan data dilakukan
program Data Quality Assurance (DQA) dan data cleansing serta
monitoring kewajaran saldo akun Laporan Keuangan oleh second line of
defense di region dan unit kerja lainnya serta audit oleh Internal Audit.
Internet saat ini sudah bisa dijangkau oleh siapapun. Hal ini yang
menjadi latar belakang perbankan di Indonesia banyak memberikan produk
ataupun layanan dalam bentuk online atau aplikasi internet, dan Bank Mandiri
salah satu yang memberikan atau menggunakan internet sebagai layanan
perbankannya.
8
pengambilan data nasabah dan lain sebagainya menjadi semakin marak di
kalangan para nasabah sebagai korban dan pelaku criminal sebagai
tersangkanya.
9
Mengingat banyaknya variasi internet browser yang ada, dan internet
banking harus mengikuti keamanan masing-masing browser, maka saat ini
Bank Mandiri menyediakan sarana internet banking yang lebih cocok
diakses dengan menggunakan Netscape Communicator 4.7 atau Microsoft
Internet Explorer versi 5 .01 atau versi terakhir.
10
memiliki beberapa kelemahan ditinjau dari segi keamanan yang sudah
diperbaiki di versi 6 (IP v6).Namun sayangnya IPv6 belum lazim
dipergunakan.
a. Ancaman Internet Banking
Secara umum, hal yang paling sering diserang para
penyusup untuk masuk ke dalam sebuah situs yang terproteksi
adalah dengan mendapatkan akses masuknya, atau sisi
Autentikasi.Karena hanya dengan mengetahu user ID dan
password kita dapat melakukan apapun yang kita inginkan.
Dalam pembahasan keamanan layanan ini, penulis akan mencoba
melakukannya dengan dua cara, yaitu dengan menggunakan
perangkat lunak keyloggerdan proses sniffing.
2. Keylogger
Keyloggermerupakan sebuah produk yang
dapat mengetahui aktivitas apa saja yang terjadi pada
komputer yang isisipinya. Pembuat produk ini
berargumen bahwa keylogger sangat berguna untuk
memantau perkembangan kerja karyawan perusahaan,
mengetahui apa yang dilakukan anak ketika brosing di
Internet dan sebagainya.
11
Jenis keylogger ada 2 yaitu, perangkat lunak
&hardware. Keduanya mempunyai tujuan yang sama
dengan karakteristik yang berbeda. Jenis hardware
biasanya dipasang secara fisik pada komputer,
merekam segala aktivitas yang diketikkan
keyboard.Sedangkan jenis perangkat lunak, diinstal di
sistemoperasi kompueter dan dijalankan, biasanya
secara tersembunyi.
3. Typo site
Pelaku membuat nama situs palsu yang sama
persis dengan situs asli dan membuat alamat yang
mirip dengan situs asli. Pelaku menunggu kesempatan
jika ada seseorang korban salah mengetikan alamat
dan sirus palsu buatannya. Jika hal ini terjadi maka
pelaku akan mudah memperoleh informasi user dan
password korbannya dan dapat dimanfaatkan untuk
merugikan korban.
5. Web deface
Sistem exploitation dengan tujuan
12
menggantikan tampilan halaman muka semua situs.
Cara kerja web deface adalah dengan
melakukanperubahan pada halaman web depan pada
situs-situs tertentu, dilakukan oleh para hacker atau
cracker untuk mengganggu informasi yang
dimunculkan pada halaman situs yang dimaksud.
Contohnya adalah dengan menambahkan gambar,
tulisan ke suatu web milik orang lain tanpa
sepengetahuan adminnya.
6. Phissing
Suatu bentuk penipuan yang dicirikan dengan
percobaan untuk mendapatkan informasi peka seperti
kata sandi dan username dengan menyamar sebagai
orang atau bisnis yang terpercaya dalam sebuah
komunikasi resmi, seperti email.
7. Denial of service
Denial of service(DoS) attack merupakan
sebuah usaha (dalam bentuk serangan) untuk
melumpuhkan sistem yang dijadikan target sehingga
sistem tersebut tidak dapat menyediakan servis-
servisnya(denial of servis). Cara untuk melumpuhkan
dapat bermacam-macam dan akibatnyapun dapat
beragam. Sistem yang diserang dapat menjadi hang
atau crash, tidak berfungsi, atau menurunnya kinerja
sistem karena beban CPU menjadi tingi.
13
b. Pengendalian Ancaman Internet Banking
Pengendalian potensi penyerangan keamanan sitem
internet banking, diantaranya;
1. IP spoofing diantisipasi dengan penyaringan oleh router.
2. User name spoofing, sistem otentikasi mencegah
seseorang dari berpura-pura menjadi user lain dengan
memerlukan sandi untuk mengakses bank, transmisi
semua password terenkripsi, dan menggunakan
encrypted one-time"cookies" untuk mempertahankan
state yang telah disahkan
3. Upaya untuk Crack Database Otentikasi (Attempts to
Crack Authentication Database),Informasi account
pelanggan yang disimpan pada database server yang
terlindungi di belakang firewall dan database tidak dapat
di download dari Internet.
4. Serangan berbasis web server (Web Server Based
Attacks),Serangan terhadap Netscape Commerce Server
adalah digagalkan karena lingkungan chroot-ed dan
karena proses “outside” yang tidak bisa melihat apa-apa
pada proses "inside".Firewall hanya mengizinkan mail
untuk melewati dan menggunakan SMTP filter. Setiap
mesin minimal dikonfigurasi untuk hanya melakukan
tugasnya, dan tidak lebih. Pengamanan di atas pada
prinsipnya merupakan usaha untuk memenuhi aspek
keamanan seperti authentication, confidentiality /
privacy, non- repudiation, dan availability. Adanya
pengamanan ini tidak membuat sistem menjadi 100%
aman akan tetapi dapat membuat sistem dipercaya
(trusted). Potensi lubang keamanan dapat dianggap
sebagai resiko. Maka masalah ini dapat diubah menjadi
masalah riskmanagement.
14
BAB III
PENUTUP
A. Kesimpulan
B. Saran
Sistem manajemen pengendalian dari Bank Mandiri sudah cukup baik jika
dilihat dari segi teknologi informasinya. Ada beberapa masukan yaitu untuk
mencegah terjadinya hardware keyloger, perusahaan bisa menggunakan
virtual keyboard untuk nasabah agar hasil ketik sebelumnya tidak terekam
oleh keylogger. Lalu para nasabah juga sebaiknya menghidari akses atau login
akun perbankan di tempat umum seperti warnet, dan tempat umum lainnya
agar tidak terjadi kebocoran data.
15
DAFTAR PUSTAKA
16