System & Physical Control (Series of Banking Operations – 3)
Bernhard Sumbayak, Founder and Advisor Vibiz Consulting (13 Agustus 2014)
==============================================================
Setelah Control Awareness dibangun, begitu juga dengan Control Process, maka kita akan melangkah lebih jauh dari sisi System dan Fisik.
1. Aspek System
Yang dimaksud dengan aspek system disini adalah bagaimana mencegah terjadinya kesalahan atau penyalahgunaan yang terkait dengan system, diantaranya:
Digunakan oleh orang yang tidak berhak
Akses atas transaksi yang tidak berhak
Kesalahan melakukan penginputan data
Melakukan transaksi diatas wewenang yang dimiliki
Manipulasi data, dll
Sebagaimana diketahui dalam suatu perusahaan (terutama perbankan), penggunaan system sudah menjadi bagian yang sangat penting, tanpa adanya system dapat dikatakan, aktifitas kerja menjadi lumpuh. System yang digunakan juga tidak hanya satu namun banyak system sesuai dengan maksud dan tujuannya masing-masing. Di bank system yang paling utama dinamakan core banking system, yaitu system yang memproses seluruh day to day transaction dari customer dan menyimpan data customer. Karena begitu penting system bagi keberlangsungan kerja perusahaan dan customer, maka langkah-langkah yang diambil untuk mencegah terjadinya masalah atau kesalahan dilakukan hal-hal berikut:
a. Penggunaan system yang lebih intensif dan parallel pengurangan keterlibatan karyawan
Automation, dimana suatu proses sedapat mungkin dilakukan secara otomatis oleh system, tanpa adanya keterlibatan manusia. Sering kali juga disebut sebagai STP – Straight Through Processing. Perpindahan proses transaksi yang dilakukan dari system ke system, atau seminimal mungkin intervensi karyawan. Misalnya proses transfer, setelah dilakukan transaksi di counter teller, system langsung memproses dan mengirim kepada system transfer regulator
Melalui vendor atau pihak ketiga, dimana pihak karyawan keterlibatannya tidak ada atau lebih terbatas.
b. Akses system – password security. Kerahasiaan password merupakan satu fungsi kontrol yang paling dasar. Seorang karyawan jika ingin merasa aman dalam bekerja maka harus:
Menjaga kerahasiaan password dan
Menghindari pelanggaran penggunaan password.
Pelanggaran password yang sering terjadi seringkali disebabkan kecerobohan dari pemilik password:
Password Sharing, password sharing jika dilakukan dan diketahui akan dikenakan sanksi yang berat, mengingat ini membuka celah lebar-lebar bagi terjadinya fraud dan penyalahgunaan lainnya.
Meninggalkan terminal dalam keadaan sign on
Mencatat password pada tempat yang dapat dilihat oleh umum
c. Parameter set up and security, maksudnya adalah set up atas design product dan system sehingga tidak bisa diubah secara sembarangan, misalnya seperti setoran awal, tingkat sukubunga,
d. User matrix, list of jenis pengguna yang diberikan akses sebagai user atau supervisor dengan template yang telah disesuaikan dengan job dan authorithynya, sehingga seorang user tidak akan bisa secara system berfungsi ganda sebagai supervisor. Atau sekelompok user profile menggunakan user profile lain yang berbeda
e. User ID, adalah akses user ke system yang direview secara berkala. Akses hanya diberikan kepada user yang berhak, dan apabila setelah sekian waktu lamanya user tidak aktif akan dilakukan penonaktifan dan apabila sesuai ketentuan melebihi jangka waktu tertentu akan dipurging (penghapusan) atas user tersebut. Ini juga termasuk apabila user berhenti
f. Limit, user tidak dapat memproses transaksi melebihi dari limit yang telah diset di system untuknya, jika hendak diproses maka diperlukan approval yang lebih tinggi (override) supervisor)
g. Mandatory Field, untuk mencegah data yang seharusnya terisi kosong, maka diset mandatory field, dimana filed tidak dapat dibiarkan kosong, namun harus terisi sebelum proses selanjutnya dilakukan
h. Check Digit, dalam hal proses transaksi – khususnya untuk no account, system akan melakukan pengecekan apakah no yang dimasukkan sudah sesuai dengan design no yang dibuat, jika belum system akan menolak
i. Fool proof concept, suatu concept dimana system didesign sedemikian rupa sehingga jika terjadi kesalahan yang mendasar system dapat mengetahui dan tidak melanjutkan transaksi
j. Report dalam bentuk gambar (pdf dan sejenisnya) – ini untuk menghindari dilakukannya pembuatan report palsu yang dapat diedit dan dimanipulasi datanya
k. Pembatasan waktu berlakunya validasi system, misalkan jika dalam tempo tertentu tidak ditindaklanjuti, transaksi akan terhenti/gagal/abort, misal transaksi online banking dgn validasi password melalui HP, jika dalam tempo sekian menit password tidak diinput ke system, transaksi gagal. Hal ini mencegah transaksi dilakukan oleh pihak yang tidak berwenang
l. Pembatasan jam akses system, sehingga menghindari penggunaan system oleh user yang tidak berhak diluar jam kerja.
m. Pembuatan directory User, dimana adanya directory untuk suatu data tertentu yang dapat diakses hanya oleh orang-orang tertentu dalam group, hal ini menghindari penggunaan data oleh orang yang tidak berkepentingan.
n. Pembatasan network dan USB, untuk suatu area kerja yang banyak menggunakan data, maka pembatasan untuk memberikan data secara network dan USB dibatasi.
o. DRC concept, Disaster recovery center, suatu concept system dimana jika terjadi gangguan atau bencana, telah disiapkan back up di tempat lain sehingga proses transaksi atau aktifitas dapat tetap dilakukan dengan menggunakan back up link atau server atau device tersebut.
p. Masih cukup banyak aspek control system yang dapat diterapkan, namun secara sederhana – proses yang dibangun didalam system akan lebih baik, dibandingkan jika dilakukan secara manual. Sedapat mungkin aspek control system perlu diperkuat sehingga mengurangi keterlibatan manusia dan meminimize kesalahan manusia yang terjadi
2. Aspek System – Data
Adalah penggunaan data yang berasal dari system untuk digunakan dalam rangka kepentingan control sehingga dapat terjaga baik.
a. Data-data Identitas nasabah (CIF), maupun data rekening
Pengambilan data mengenai identitas nasabah, KYC, tujuan pembukaan rekening, fasilitas yang diberikan, dll atas diri nasabah maupun fasilitas yang diberikan
b. Data-data transaksi
Pengambilan data-data transaksi yang dilakukan oleh nasabah, dengan memperhatikan jumlah transaksi, pola transaksi, verifikasi transaksi, media transaksi, lokasi transaksi, waktu transaksi, dll, serta data2 transaksi dilakukan oleh siapa, di-approve siapa, dll, apakah ada deviasi dalam pelaksanaannya sehingga memerlukan wewenang yang lebih tinggi.
c. Data-data parameter system
Memastikan data2 parameter di system telah dimasukkan dengan benar, misalnya range suku bunga, kode produk, kode cabang, kode Line of Business, kode user ID, dan lai
d. Pengolahan data
Data2 diatas diolah sedemikian rupa (untuk kepentingan control) sehingga akan ada subset2 data yang dapat diolah sesuai keperluannya,. Misalnya data surveillance, data control analysis, data fraud identification/data fraud detection, data deviation monitoring, dll
Penggunaan data dari sisi control semakin diperlukan saat ini, bahkan mekanisme site visit/branch visit, tanpa diserta data control analysis sebelumnya tidak akan menjadi efektif. Penggunaan data control analysis dengan proses pengambilan data dan analysis yang mencukupi akan membuat proses control semakin tajam, akurat, efficient dan efektif.
3. Aspek Fisik
Adalah sebuah proses untuk memastikan aset bank berada dalam kondisi yang aman dan terlindungi dari kerusakan / kejahatan.
a. Pengaturan Infrastruktur khazanah, dimana khasanah dibangun dengan bahan baku yang kuat dan tebal (baja), terdiri dari beberapa pintu, pintu Utama – kombinasi password, pintu jeruji. Sera ruang yang didesign dengan kuat, tembok tebal, tidak bocor, dll. Akses tidak dapat dilakukan seorang diri, minimal 2 orang yang berbeda secara bersamaan
b. Spesifikasi lemari besi, lemari besi tahan api dan tahan gempa, pintu kombinasi dual custody, dan dengan anak kunci, dll. Akses hanya dapat dilakukan oleh 2 orang yang berbeda secara bersamaan.
c. Keamanan gedung, yang dilengkapi dengan alarm, panic button, wrinkler (saluran yang memancarkan air saat terjadi kebakaran), alat pemadam kebakaran, CCTV, petunjuk apabila terjadi keadaan darurat atau gempa, dan lain-lain
d. Passing door: penjagaan secara fisik oleh petugas, pemeriksaan barang yang dibawa serta pengecekan seseorang tidak bisa masuk dalam areal kerja tanpa terdata sebelumnya (dgn kartu), untuk tamu harus meninggalkan tanda pengenal terlebih dahulu.
e. Access door, dimana pintu masuk hanya dapat dilalui oleh orang-orang yang mempunyai pass (biasanya dalam bentuk kartu), sehingga mencegah masuknya orang yang tidak diinginkan.
f. Body checking, untuk suatu area yang memerlukan pengamanan khusus, maka dilakukan body checking, sehingga saat masuk dan keluar, dipastikan orang tersebut tidak membawa barang-barang yang tidak diinginkan.
g. Security Guard, personil Security Guard memegang peranan yang tidak kalah penting untuk memastikan keamanan lingkungan kantor dan sekitar. Personil security guard yang terlatih dan mencukupi akan membuat keamanan meningkat.
h. CCTV, alat perekam baik untuk diluar gedung, didalam gedung, yang saat ini wajib diterapkan di titik2 penting tertentu seperti: Pintu masuk, ruang teller, ruang customer service, ruang customer/banking hall, pintu khazanah, pintu SDB, ruang ATM, ruang server, dll
i. Phone recorder, untuk memastikan keabsahan suatu transaksi jika melebihi limit tertentu dan memastikan kebenaran transaksi apabila customer tidak secara fisik datang ke counter teller
j. Angkur atau dyna bolt, suatu alat yang dipasang di mesin ATM sehingga tidak mudah untuk diangkat oleh pihak yang berniat mencuri mesin ATM
k. Cash Delivery / Cash Pick Up dilakukan oleh vendor dan di asuransikan, pengalihan pengamanan ke vendor dimana relative biayanya lebih efisien dan penanganan lebih professional.
l. Aspek pengamanan fisik ini tidak dapat disepelekan, tetap harus menjadi perhatian sehingga perusahaan / perbankan dapat dikenal sebagai tempat yang aman untuk melakukan aktifitas dan transaksi
Keseluruhan aspek ini tetap perlu dilakukan pengecekan dan review secara berkala, misalkan dari sisi system perlu dilakukan BCP testing (Business Continuity Plan), dari aspek fisik dilakukan maintenance secara berkala atas alat2 yang digunakan, dan lain sebagainya.
Business Continuity Plan (BCP) testing, pengalihan proses di lokasi BCP lainnya, sehingga dalam keadaan yang darurat proses-proses yang critical dapat tetap dijalankan
Disaster Recovery Center(DRC) testing, lebih banyak terkait aspek system, dimana system yang dibangun mempunyai back up dan secara berkala dilakukan pengalihan transaksi ke system back tersebut, misalnya satu tahun atau 6 bulan sekali dalam jangka waktu periode yang mencukupi (misalnya 1 atau 2 minggu)
Event Simulation – jika terjadi kebakaran, gempa. Suatu simulasi dimana diskenariokan terjadi kebakaran atau gempa misalnya atas gedung yang tinggi, dll
Pengecekan berkala atas aspek fisik, dimana data informasi asset, usia, depresiasi beserta monitoring terakhir dan waktu pemeliharaan selanjutnya, serta kapan sebaiknya asset fisik tersebut perlu diganti atau diperbaharui, merupakan komponen vital yang perlu didata dan ditindaklanjuti dengan baik.
Demikian seluruh aspek control yang perlu diterapkan sehingga suatu perusahaan dapat membangun controlnya menjadi solid, dari aspek control awareness, proses control, control secara system dan secara fisik.
Dalam situasi yang semakin berisiko ini, maka penerapan control yang baik akan sangat membantu perusahaan/bank untuk membangun kelebihannya dan menjaga keberlangsungan usaha.