Embed Size (px)
DESCRIPTION
kasus SPI
Citation preview
Kasus : Manajemen Risiko pada Bank Permata, Tbk
Profil Bank Permata
PT Bank Permata Tbk (Bank Permata) merupakan hasil merger 5 (lima) bank pada tahun 2002.
Bank-bank tersebut yakni PT. Bank Bali Tbk, PT. Bank Universal Tbk, PT. Bank Artamedia,
PT. Bank Patriot dan PT. Bank Prima Ekspress. Di tahun 2004, Standard Chartered Bank dan PT
Astra International Tbk mengambil alih Bank Permata dan memulai proses transformasi secara
besar-besaran didalam organisasi. Selanjutnya, sebagai wujud komitmennya terhadap Bank
Permata, kepemilikan gabungan pemegang saham utama ini meningkat menjadi 89,01% pada
tahun 2006. Saat ini Bank Permata telah berkembang menjadi bank swasta utama yang
menawarkan produk dan jasa inovatif serta komprehensif terutama disisi delivery channel-nya
termasuk Internet Banking dan Mobile Banking. Bank Permata kini telah melayani sekitar 1,9
juta nasabah di 55 kota di Indonesia dengan 278 cabang (termaksuk 10 cabang Syariah) dan 631
ATM serta akses tambahan di lebih dari 40.000 ATM (VisaPlus, Visa Electron, MC, Alto, ATM
Bersama dan ATM Prima)
Implementasi dan Pembaharuan TI
Selama tahun 2010, beberapa proyek IT yang signifikan telah diimplementasikan untuk
mendukung perkembangan bisnis dan peningkatan pelayanan, berkaitan dengan perbaikan sistem
dan peningkatan infrastruktur IT. Berikut sistem TI yang telah diimplementasikan tersebut:
1. Pembaharuan PC dan Server
2. Implementasi Electronic Trading System (ET)
3. Implementasi Joint Financing System
4. Implementasi Fund Accounting and Custody System
5. Implementasi Consumer Lending Risk Assessment
6. Peluncuran Program e-Learning iSafe untuk Keamanan Informasi (Information Security)
7. User-Id Review
8. Implementasi Otomasi LHBU (Laporan Harian Bank Umum)
Fokus Core IT Bank Permata dalam Pencapaian Peningkatan Pendapatan/thn
Untuk periode tahun 2008 – 2009, implementasi TI di Bank Permata berfokus pada Internet
Corporate Banking dan beberapa produk dengan karakteristik High Level Requirement seperti
transfer antar bank. Kontribusi TI pada Bank Permata bisa dilihat dari segmen middle market
dimana terjadi peningkatan pengelolaan dana pihak ketiga sebesar 181% menjadi 2,8 triliun
rupiah pada tahun 2008 (Annual Report, 2008). Sedangkan pada segmen financial institusion
terjadi peningkatan aset dari 1,8 triliun rupiah pada tahun 2007 menjadi 2,8 triliun rupiah pada
tahun 2008 (Annual Report, 2008; Annual Report, 2007). PT. Bank Permata, Tbk., misalnya, per
kuartal III/2009 membukukan laba bersih 500 miliar rupiah, melaju 28% dibanding periode yang
sama tahun sebelumnya (Annual Report, 2009). Per kuartal III/2009 total pendapatan Bank
Permata mencapai 2,8 triliun rupiah naik 19% dibanding periode yang sama tahun sebelumnya
yang mencapai 2,3 triliun rupiah. Sedangkan pendapatan bunga bersih sebesar 2,1 triliun rupiah
melaju 14 % dibanding periode yang sama tahun sebelumnya. Pendapatan operasional lainnya
tumbuh 40% dari 453 miliar rupiah menjadi 634 miliar rupiah. Rasio beban operasi terhadap
pendapatan operasi tercatat sebesar 84,8% di tahun 2010 menurun dari 89,2% di tahun 2009.
Permasalahan yang Terjadi
Terdapat beberapa kasus yang terjadi di Bank Permata menyangkut permasalahan di bidang
teknologi informasi. Adapaun kasus-kasus tersbut adalah:
Kasus 1 : Pembobolan oleh Cyber
Pada bulan Juli 2009 telah terungkap kejahatan cyber yang terjadi pada nasabah Bank Permata
Cabang Samarinda Kalimantan Timur. Uang nasabah senilai Rp. 110 juta hilang akibat kejahatan
cyber tersebut. Kasus ini telah terjadi lebih kurang 10 orang nasabah Bank Permata. Kejahatan
ini dilakukan oleh penjahat cyber yang dilakukan secara berkelompok.
Analisis: Modus Operasional Pembobolan
Pembobolan dana nasabah ini dilakukan dengan modus mengacak 10.000 nomor Telephone
Identification Number (TIN), yaitu nomor yang digunakan oleh nasabah Bank Permata sebagai
akses kode rahasia dalam menggunakan layanan mobile banking maupun internet banking.
Pelaku berhasil menembus 17 nomor TIN dan digunakan untuk mengambil uang tunai sebesar
lebih kurang Rp.110 juta yang kemudian uang tersebut ditransfer ke rekening bank lain melalui
mesin ATM.
Kasus 2 : Pembobolan melalui media EDC (Electonic Data Capture)
Kasus pembobolan Bank Permata di Bandung dengan cara menggunakan Mesin Electonic Data
Capture ( EDC ) atau Mesin Gesek Kartu Debit telah merugikan Bank Permata hingga miliaran
rupiah. Pembobolan ini dilakukan oleh tersangka yang bernama Riki, warga bandung yang kini
buron [6].
Analisis : Modus Operasi
Pembobolan melalui media EDC ini dilakukan dengan modus pemanfaatan mesin EDC yang
digunakan sebagai alat gesek kartu kredit. Pemilik mesin EDC ini bekerjasama dengan penjahat
cyber dengan mengambil data dari mesin EDC yang sebelumnya telah dikonfigurasi. Pelaku
mengabil id dari setiap nasabah Bank Permata yang telah menggunakan kartu kreditnya di mesin
EDC tersebut. Dengan diperolehnya data nasabah tersebut, pelaku cyber dengan mudah
melakukan pembobolan dana nasabah yang kemudian dimanfaatkan untuk mengambil
keuntungan. Hal ini
mengakibatkan kerugian bernilai milyaran rupiah. Pada kasus modus perasi ini, pelaku cyber
memperoleh data dari 2 mesin EDC yang masing-masing diperoleh dana sekitar Rp. 1,7 miliyar
dan Rp. 676 juta.
PEMBAHASAN KASUS:
Risk IT adalah suatu framework yang didasarkan pada seperangkat prinsip-prinsip penuntun
untuk pengelolaan yang efektif dari risk IT. Framework RiskIT merupakan pelengkap COBIT
yakni suatu framework komprehensif untuk tata kelola dan pengendalian usaha solusi berbasis IT
dan layanan. Sedangkan COBIT menyediakan satu set kontrol untuk mengurangi resiko IT,
RiskIT menyediakan suatu framework bagi perusahaan untuk mengidentifikasi, mengatur, dan
mengelola resiko IT.
Adapun 3 (tiga) domain dalam RiskIT yakni Tata Kelola Risiko (Risk Governance-RG), Evaluasi
Risiko (Risk Evaluation-RE), dan Respon Risiko (Risk Response-RS). Masing-masing domain
terdapat tujuan yang harus dicapai, dan dibagi dalam beberapa sasaran proses serta aktivitas yang
dilakukan untuk mencapainya. Dalam definisi RiskIT, risiko IT disorot sebagai risiko bisnis.
Risiko lain yang termasuk perusahaan menghadapi risiko strategis, risiko lingkungan, risiko
pasar, risiko kredit, risiko operasional dan risiko kepatuhan. Di banyak perusahaan, TI terkait
resiko dianggap sebagai komponen risiko operasional. Namun, bahkan risiko strategis dapat
memiliki komponen TI untuk itu, terutama di mana TI adalah enabler kunci inisiatif bisnis baru.
Hal yang sama berlaku untuk risiko kredit, mana yang buruk TI (keamanan) dapat
mengakibatkan penurunan peringkat kredit.
Setelah melakukan tahapan analisa hingga evaluasi terhadap risiko TI yang menggunakan
framework RiskIT, dapat disimpulkan bahwa:
1. Framework RiskIT merupakan framework yang tepat digunakan dalam melakukan
menyelesaikan kasus yang terjadi pada bank permata khususnya untuk risiko TI.
2. Hasil dari Analisa, Evaluasi dan Respon berdasrkan RiskIT yang digunakan telah
menghasilkan sebuah keputusan yang bermanfaat dalam pembaharuan Risiko TI pada bank.
3. Transaksi online dan alat EDC yang menjadi sumber risiko harus selalu menjadi perhatian
penting guna meminimalisir tingkat risiko yang dialami nasabah.
4. Kejadian pembobolan dana nasabah ini telah menurunkan tingkat kepercayaan masyarakat
terutam nasabah bank tersebut.
5. Kerugian yang dialami bukan hanya dari segi finansial namun juga dari segi sosial dan sangat
berpengaruh besar terhadap tujuan proses bisnis bank.
Rekomendasi yang dapat diberikan:
Dari hasil pembahasan tentang penggunaan framework RiskIT dapat direkomendasikan berupa:
1. Penggunaan framework riskIT dapat diperluas lagi dengan menggunakan skala prioritas
terhadap risiko-risiko yang akan ditimbulkan.
2. Manajemen risiko TI harus selalu diperbarui dan dipelihara sehingga ikut menyesuaikan
dengan potensi timbulnya risiko akan datang.
3. Peristiwa pembobolan dana nasabah dapat dicegah melalui solusi pendekatan dari pihak bank,
nasabah dan pemerintah.
Kasus :
Dalam beberapa tahun terakhir ini teknologi komputer telah berkembang sangat pesat. Sehingga
setiap perusahaan berlomba-lomba memanfaatkannya untuk menyajikan informasi yang akurat,
cepat, dan efisien. Sehingga pihak eksekutif dapat dengan mudah melakukan pengambilan
keputusan guna perencanaan organisasi perusahaannya untuk memenangkan persaingan bisnis.
JNE adalah perusahaan nasional terkemuka yang menyediakan one stop solution layanan untuk
Logistik dan Distribusi, yang merupakan kota kurir, kurir domestik, kurir internasional, logistik
dan distribusi, internasional laut dan kargo udara, bergerak, truk, dan pergudangan, bea
mengungkapkan kustom, bandara mengawal, dan transfer uang. JNE mencari kandidat yang
memiliki kompetensi inti: Jujur, Visioner, Bertanggung Jawab.
Permasalahan yang diangkat adalah bagaimana membangun Sistem Informasi Eksekutif. Adapun
permasalahan yang menjadi dasar :
Informasi yang dihasilkan sering terlambat
Informasi yang dihasilkan tidak lengkap
Tujuan dan Manfaat SIE
Tujuannya sebagai berikut :
1. Untuk menghasilkan informasi yang cepat
2. Untuk menghasilkan informasi yang lengkap
Manfaatnya sebagai berikut :
1. Informasi yang tepat waktu
2. Informasi menjadi sesuai
3. Informasi menjadi lengkap
Alasan SIE diperlukan: Untuk saat ini SIE sangat diperlukan pada PT JNE, karena dengan
system yang lebih modern maka kinerja pada PT JNE akan lebih maju.
Langkah apa yang dapat dilakukan eksekutif untuk meningkatkan sistem informasi mereka?
Lima langkah untuk pencapaian pengembangan tersebut :
1. Menyimpan inventarisasi dari transakasi informasi yang masuk, yaitu memelihara record data
dan menyimpan ke database, dan dapat dibuat laporan.
2. Merangsang terjadinya sumber yang bernilai tinggi. Dengan adanya sumber yang bernilai
tinggi maka eksekutif mengkomunikasikan sumber tersebut ke setiap anggota dengan melakukan
konferensi.
3. Mengambil manfaat dari peluang yang ada, ketika informasi datang, eksekutif harus dapat
memperolehnya.
4. Menyesuaikan sistem dengan kebutuhan perorangan, eksekutif menggunakan gaya atau cara
pengumpulan informasi yang berbeda.
5. Memanfaatkan teknologi, memanfaatkan staf pelayan informasi untuk mengembangkan sistem
dalam perusahaan itu sendiri.
Mengapa SIE Secara Trickle Down Melalui Organisasi
Trickle down adalah Sebuah teori ekonomi bahwa dukungan bisnis yang memungkinkan mereka
untuk berkembang pada akhirnya akan menguntungkan menengah dan masyarakat
berpendapatan rendah, dalam bentuk kegiatan ekonomi meningkat dan pengangguran berkurang.
Seperti negara Indonesia, dimana jumlah penduduk tergolong besar dan tingkat pertumbuhan
penduduk yang cukup tinggi, maka pada awal proses pembangunan, pertumbuhan ekonomi
menjadi sangat penting, dimana tingkatan pertumbuhan ekonomi yang terjadi harus lebih tinggi
dari pertumbuhan penduduk, sehingga peningkatan pendapatan perkapita dapat tercapai.
Diharapkan dengan adanya pertumbuhan ekonomi maka masalah seperti pengangguran,
kemiskinan, dan ketimpangan justru dapat teratasi melalui sistem trickle down effect.
Perlukah SIE menyertakan informasi yang dihasilkan komputer
Perlu, Walau beberapa eksekutif mengandalkan komputer, secara proporsional lebih sedikit
pemakai komputer di tingkat eksekutif daripada di tingkat lainya. Eksekutif harus mengambil
langkah-langkah untuk meningkatkan peran komputer dalam sistem informasi mereka. Langkah-
langkah yang bisa dilakukan:
1. Menyimpan inventarisasi dari transakasi informasi yang masuk, yaitu memelihara record data
dan menyimpan ke database, dan dapat dibuat laporan.
2. Merangsang terjadinya sumber yang bernilai tinggi. Dengan adanya sumber yang bernilai
tinggi maka eksekutif mengkomunikasikan sumber tersebut ke setiap anggota dengan melakukan
konferensi.
3. Mengambil manfaat dari peluang yang ada, ketika informasi datang, eksekutif harus dapat
memperolehnya.
4. Menyesuaikan sistem dengan kebutuhan perorangan, eksekutif menggunakan gaya atau cara
pengumpulan informasi yang berbeda.
5. Memanfaatkan teknologi, memanfaatkan staf pelayan informasi untuk mengembangkan sistem
dalam perusahaan itu sendiri.
Di Indonesia sudah banyak perusahaan yang telah menggunakan Sistem Informasi Eksekutif,
contohnya yaitu Bank Mandiri
Bank Mandiri yang didirikan pada tanggal 2 Oktober 1998 merupakan bagian dari program
restrukturisasi perbankan yang dilaksanakan oleh pemerintah Indonesia. Empat bank milik
pemerintah yang bergabung menjadi bank Mandiri tersebut adalah Bank Bumi Daya, Bank
Dagang Negara, Bank Ekspor Impor Indonesia dan Bank Pembangunan Indonesia.
Dari penyatuan empat bank pemerintah yang memiliki core banking system yang berbeda-beda,
data center yang berbeda-beda, serta infrastruktur baik hardware, software maupun jaringan yang
berbeda-beda maka pada awal bank Mandiri \ melakukan evaluasi atas core banking sistem dari
keempat bank legacy. Dan pada akhirnya bank Mandiri memutuskan untuk mengembangkan SIE
nya dengan cara memodifikasi sistem core banking Bank Exim (BEST) untuk memenuhi
kebutuhan standar produk awal bank Mandiri yang kemudian disebut dengan MASTER (Mandiri
Sistem Terpadu).
Berdasar hasil evaluasi atas core banking sistem dari keempat bank legacy tersebut sistem core
banking Bank Eximlah yang dianggap terbaik dari keempat sistem yang ada pada keempat
legacy bank dan yang paling memungkinkan untuk direkomendasikan sebagai standar sistem
paling memungkinkan untuk diimplementasikan sesuai dengan time frame legal merger.
Sistem core banking bank Exim telah diimplementasikan pada lebih dari 200 cabang, dan
terdapat 40 karyawan bank Exim memahami sistem tersebut dengan baik.
MASTER hanya sebuah solusi sementara jangka pendek untuk dapat secepatnya beroperasi
dalam satu platform. MASTER tidak dapat mendukung kebutuhan bisnis dan visi bank Mandiri
untuk masa mendatang karena MASTER dibuat pada pertengahan tahun 1980an untuk keperluan
bank dengan segmen korporasi, sedangkan bank Mandiri menyasar pada segmen yang berbeda
denga bank Exim yaitu segmen ritel.
Selain itu, arsitektur sistem MASTER dikembangkan dengan konsep branch- centric yang tidak
dapat mendukung konsep hub and spoke. Disamping itu database yang dimiliki oleh MASTER
ini cukup terbatas dan tidak dapat memenuhi kebutuhan customer view dan segmentasi nasabah
yang diperlukan.
Selanjutnya dilakukan benchmarking aplikasi MASTER yang dilakukan di IBM Center
Rochester dan diketahui bahwa MASTER tidak dapat memenuhi kebutuhan bank Mandiri. Dari
sini, pihak manajemen bank Mandiri sepakat untuk mengganti core banking sistemnya dengan
sistem off- the-shelf from the market yang dapat mendukung bisnis dan visi bank Mandiri, dan
tidak mendesain ulang sistem MASTER.
Setelah itu dilakukan penggantian sistem MASTER ke system eMAS (Enterprise Mandiri
Advanced System) yang project pilotnya dilakukan dalam dua tahap. Sistem eMAS dijalankan
senilai US$ 173 juta selama 3 tahun yang mencakup empat inisiatif utama yaitu:
Memperkaya dan memperbarui delivery channel.
Membangun sistem core banking baru yang terintegrasi.
Membangun MIS didukung teknologi Data Warehouse terkini.
Memperkuat dan memperbarui sistem infrastruktur yang reliable.
didukung oleh anggota tim sebanyak 500 orang, 32 proyek, 18 sistem interfaces dan 128 sub
modul. Pada bank Mandiri, ada beberapa hal yang menjadi perhatian dalam pengelolaan data,
yaitu:
Timeless: data harus tersedia pada watunya untuk mengantisipasi perubahan bisnis yang
cepat.
Usability: data harus sesuai dengan kebutuhan user.
Completeness: data yang lengkap akan dapat memberikan gambaran bisnis yang lebih
baik, sehingga pada saat pemasukan data (data entry), field-field penting telah dibuat
mandatory dan default value.
Correctness: ketepatan data untuk digunakannya parameter table untuk meminimalisir
kesalahan pengetikan (typing error).
Precision: memastikan bahwa data tetap lengkap dan sesuai (tidak ada data yang hilang
atau berubah).
Lack of abiguity: kesamaan persepsi atas data diperlukan untuk menghindari
misinterpretasi.
Untuk mendukung penyediaan data dan informasi yang lengkap, akurat, tepat waktu dan
konsisten maka dibentuk Enterprise Information Architecture yang bersifat "agile & adaptive"
dan comply dengan Basel II.
Saat ini, sebagian besar proses pelaporan telah berjalan secara otomatis, meski terdapat beberapa
yang masih diperlukan adanya intervensi atau pengontrolan dari unit terkait dalam hal ini
eksekutif untuk dilakukan adjustment sesuai keputusan manajemen, maupun adanya temuan
audit internal dan eksternal.
Walaupun demikian, diakui pihak IT bank Mandiri, bahwa masih terasa terdapat kekurang
optimalan waktu pemrosesan pembentukan data menjadi informasi, serta kurangnya pemahaman
terhadap kebutuhan laporan dan data yang tersedia. Untuk itu diperlukan upaya performance
tuning pada database maupun program, termasuk simplifikasi laporan dan reengineering proses
pembentukan laporan.
Pihak bank Mandiri telah melakukan pengantisipasian external shocks dengan menggunakan
Business Intelligence (BI). Saat ini analisiss Business Intelligence sudah digunakan oleh unit
bisnis untuk pengambilan berbagai keputusan strategis, meskipun sementara ini penggunaannya
masih dalam tahap sales dan marketing product.
Tetapi, untuk lebih mengoptimalkan penggunaannya perlu disusun datamart (subset dari Data
warehouse yang berisi data yang lebih spesifik yang bersifat departemental) yang lebih
komprehensif dan peningkatan pemahaman, baik oleh IT maupun user, yaitu pihak manajemen
puncak yang tetkait untuk menghindari adanya kesalahan interpretasi (mis- interpretation).
Semua sistem Informasi Eksekutif PT. Bank Mandiri dikembangkan oleh Berca Tim, dengan
teknologi yang digunakan adalah :
· DB Server: Oracle DB 10g R2 di SunOS
· IBM DataStage sebagai Engine ETL
· OLAP CUBE (MOLAB): Essbase Oracle
· Front End: SAP Excelsius BO dan SAP BO Webi
