PENERAPAN MANAJEMEN RISIKO INTERNET BANKING PADA BANK UMUM TERKAIT PERLINDUNGAN HUKUM BAGI BANK DAN NASABAH (STUDI DI BANK X)

(1)

PENERAPAN MANAJEMEN RISIKO INTERNET BANKING PADA

BANK UMUM TERKAIT PERLINDUNGAN HUKUM BAGI BANK DAN

NASABAH (STUDI DI BANK X)

Nasya Dinitri Priatno, Aad Rusyad Nurdin, Nadia Maulisa

Program Kekhususan IV Hukum Ekonomi, Ilmu Hukum, Fakultas Hukum, Universitas Indonesia, Kampus Baru UI Depok, Depok 16424, Indonesia

E-mail: n.dinitri@yahoo.com

Abstrak

Skripsi ini membahas mengenai penerapan manajemen risiko internet banking, khusunya pada Bank X. Disamping memberikan kemudahan bagi nasabah, internet banking juga berpotensi meningkatkan risiko. Pokok permasalahan dalam penelitian ini adalah bagaimana ketentuan-ketentuan hukum mengenai manajemen risiko oleh Bank Umum terkait internet banking dan bagaimana penerapannya oleh Bank X. Metode penelitian yang digunakan dalam SEBI Nomor 6/18/DPNP tanggal 20 April 2004 mencakup pengawasan aktif dewan komisaris dan direksi, pengendalian pengamanan serta manajemen risiko hukum dan reputasi. Pelaksanaan manajemen risiko internet banking di Bank X sudah sesuai dengan ketentuan perundang-undangan yang berlaku.

The Implementation of Internet Banking Risk Management in Commercial Banks Related to Legal Protection for Bank and Customers (Study in Bank X)

Abstract

This thesis explains about the implementation of risk management of internet banking, especially in Bank X. In addition to providing convenience for customers, internet banking is also potentially increase the risk. The issue in this study is how is the legal provisions concerning Risk Management on internet banking and how it is applied by Bank X. The method used in this research is normative juridical method. The risk management of internet banking is set in SEBI No. 6/18 / DPNP, includes active surveillance by commissioners and directors, security control also legal and reputation risk management.. The implementation of risk management on internet banking in Bank X is in accordance with the applicable regulations.

Keywords: banking law, bank, risk management, internet banking

Pendahuluan

Mengikuti perkembangan teknologi, industri perbankan juga menyediakan layanan perbankan bagi nasabahnya secara mobile melalui internet dan biasa disebut dengan internet banking.

(2)

Selain memberikan kemudahan bagi nasabah, internet banking juga berpotensi meningkatkan risiko. Untuk meminimalisasi risiko, maka Bank menerapkan manajemen risiko pada aktivitas internet banking yang dilaksanakan sebagaimana diatur dalam Surat Edaran Bank Indonesia Nomor 6/18/DPNP tanggal 20 April 2004 tentang Pedoman Penerapan Manajemen Risiko pada Aktivitas Pelayanan Jasa Bank Melalui Internet (Internet Banking). Penerapan manajemen risiko yang baik dapat memberikan perlindungan hukum bagi Bank dan nasabahnya.

Berdasarkan hal-hal uraian sebelumnya, maka muncul pertanyaan-pertanyaan yang menjadi pokok permasalahan dari penelitian ini, yaitu :

1. Bagaimanakah ketentuan-ketentuan hukum mengenai manajemen risiko oleh bank umum terkait internet banking?

2. Bagaimanakah penerapan manajemen risiko Internet Banking oleh Bank X terkait perlindungan hukum bagi Bank dan Nasabah?

Penelitian ini secara umum memiliki tujuan untuk mengkaji mengenai penerapan manajemen risiko oleh bank umum pada internet banking dikaitkan dengan perlindungan hukum bagi bank dan nasabah di Bank X. Secara khusus, penelitian ini memiliki tujuan untuk:

a. Menguraikan ketentuan-ketentuan hukum mengenai manajemen risiko oleh bank umum terkait aktivitas pelayanan jasa bank melalui internet (internet banking);

b. Menguraikan penerapan manajemen risiko oleh Bank X dalam internet banking terkait perlindungan hukum bagi Bank dan Nasabah.

Dengan adanya penelitian yang berjudul "Penerapan Manajemen Risiko Oleh Bank Umum pada Internet Banking Terkait Perlindungan Hukum Bagi Bank dan Nasabah (Studi Kasus di Bank X)" ini kemudian diharapkan akan memberikan manfaat yang nyata bagi para pembaca dan pihak-pihak lainnya dalam bidang perbankan, khususnya berkaitan denga aktivitas pelayanan jasa bank melalui internet (internet banking).

Tinjauan Teoritis

Risiko merupakan suatu bentuk konsekuensi yang dapat dikatakan sebagai komponen yang tidak terpisahkan dari kegiatan-kegiatan dalam bidang ekonomi. Hal tersebut juga berlaku pada sektor jasa keuangan, diikuti dengan adanya perkembangan teknologi informasi, komunikasi dan komputasi yang sudah sangat maju. Dengan perkembangan tersebut dan juga

(3)

mengingat derasnya arus globaliasi yang masuk, sektor jasa keuangan merupakan sektor yang memiliki eksposur risiko yang sangat tinggi. Untuk itu, maka dibutuhkan suatu distribusi risiko yang efisien, dimana dapat dilaksanakan dengan adanya penerapan manajemen risiko yang baik.

Berbicara mengenai risiko dalam dunia perbankan khususnya bagi bank umum, ada 8 (delapan) macam risiko yang dimaksud oleh pasal 2 Peraturan Bank Indonesia Nomor 5/8/2003 tentang Penerapan Manajemen Risiko Bagi Bank Umum, yakni:

1. Risiko Kredit 2. Risiko Pasar 3. Risiko Likuiditas 4. Risiko Operasional 5. Risiko Reputasi 6. Risiko Strategik 7. Risiko Hukum 8. Risiko Kepatuhan

Terhadap risiko-risiko tersebut, dibututkan adanya suatu pengolahan serta distribusi risiko yang baik. Pengolahan serta distribusi yang dimaksud dapat berjalan apabila ada suatu penerapan manajemen risiko yang baik. Manajemen risiko adalah serangkaian metodologi dan prosedur yang digunakan untuk mengidentifikasi, mengukur, memantau dan mengendalikan risiko yang timbul dari seluruh kegiatan usaha bank. Peraturan Bank Indonesia Nomor 5/8/2003 tentang Penerapan Manajemen Risiko Bagi Bank Umum, menyatakan bahwa penerapan manajemen risiko yang dimaksud sekurang-kurangnya mencakup 4 (empat) hal yakni:

1. pengawasan aktif Komisaris dan Direksi;

2. kecukupan kebijakan, prosedur dan penetapan limit;

3. kecukupan proses identifikasi, pengukuran, pemantauan, dan pengendalian risiko serta sistem informasi manajemen risiko; dan

4. sistem pengendalian intern yang menyeluruh

Internet banking pada dasarnya tidak menimbulkan risiko baru yang berbeda dari produk layanan jasa perbankan melalui media lain, tetapi disadari bahwa internet banking meningkatkan risiko tersebut. Secara khusus internet banking meningkatkan risiko likuiditas, risiko operasional, risiko kepatuhan, risiko hukum serta risiko reputasi.

(4)

A. Risiko Likuiditas

Risiko likuiditas adalah risiko yang dihadapi oleh bank dalam rangka memenuhi kebutuhan likuiditasnya. Layanan internet banking dapat meningkatkan volatility deposito dari nasabah yang semata-mata memelihara rekening pada basis rate. Aset/libilitas dan sistem manajemen pinjaman portofolio seharusnya menyediakan penawaran produk melalui layanan internet banking, Ditingkatkannya pengawasan likuiditas dan perubahan pada deposito dan pinjaman mungkin menggantungkan jaminan pada volume dan kegiatan rekening internet alamiah.1

B. Risiko Operasional

Risiko operasional adalah risiko kerugian yang terjadi sebagai akibat dari inadequate atau failed internal processes, people dan systems atau sebagai akibat dari external events.2 Dapat dikatakan bahwa risiko operasional adalah risiko yang terjadi akibat adanya tindakan manusia. Dalam layanan internet banking, adanya kesalahan dalam pelaksanaan kegiatan layanan internet banking dapat menimbulkan risiko tersebut. Misalnya terdapat kecurangan, ketidakjujuran maupun kesalahan manajemen dan sistem dalam internet banking dapat berakibat buruk karena internet banking sendiri merupakan kegiatan yang sensitif akan risiko.

C. Risiko Kepatuhan

Risiko kepatuhan adalah risiko yang terjadi karena bank tidak mau mematuhi atau tidak mau melaksanakan peraturan perundang-undangan dan ketentuan lain yang berlaku.3 Risiko ini dapat berdampak pada modal dan pendapatan yang diakibatkan adanya pelanggaran terhadap hukum, regulasi atau standar etik. Dalam upaya meminimalkan hal ini, maka keterbukaan dan kepastian dalam layanan internet banking sangatlah penting. Wujudnya adalah dengan sinkronisasi dan pengembangan saluran internet untuk menjamin konsistensi keakuratan pesan nasabah dalam layanan internet banking.4

D. Risiko Hukum

Risiko hukum adalah risiko yang disebabkan oleh adanya kelemahan aspek yuridis,

1

Budi Agus Riswandi, Aspek Hukum Internet Banking, ed. 1, (Jakarta: PT RajaGrafindo Persada, 2005), hlm. 32.

2

Kasidi, Manajemen Risiko, cet. 1, (Bogor: Penerbit Ghalia Indonesia, 2010), hlm. 67. 3_Ibid_{., hlm. 70.}

(5)

kelemahan tersebut antara lain disebabkan oleh adanya tuntutan hukum, ketiadaan peraturan perundang-undangan yang mendukung atau kelemahan perikatan seperti tidak dipenuhinya syarat sahnya suatu kontrak.5 Untuk menghindari risiko ini maka bank perlu untuk memperhatikan persyaratan-persyaratan hukum terkait internet banking dengan baik walaupun saat ini perundang-undangan yang ada belum sepenuhnya mengatur mengenai internet banking. Dengan adanya perhatian yang baik pada aspek tersebut maka akan dapat dihindari adanya tuntutan hukum.

E. Risiko Reputasi

Risiko reputasi merupakan sebagian besar dari prospek risiko yang berdampak pada pendapatan dan modal akibat adanya pendapat negatif dari publik. Hal ini berdampak pada penetapan hubungan baru atau layanan atau kelanjutan layanan hubungan konvensional. Risiko ini membuka persengketaan ke lembaga pengadilan, kehilangan keuangan, atau kemunduran pada nasabahnya.6 Reputasi suatu bank mungkin rusak apabila layanan internet banking dilaksanakan dengan tidak baik yang dapat berakibat kepada hilangnya kepercayaan nasabah dan masyarakat.

F. Risiko Pasar

Risiko pasar dapat muncul diakibatkan oleh bergeraknya harga pasar ke arah yang merugikan. Risiko ini dapat dikatakan merupakan risiko gabungan yang terbentuk akibat perubahan suku bunga, perubahan nilai tukar serta hal lain yang mempengaruhi harga pasar. Dalam kegiatan layanan perbankan melalui internet banking, risiko pasar dapat muncul apabila dalam kegiatan transfer dana atau pembayaran melalui internet banking tersebut menggunakan mata uang asing maka akan berpengaruh kepada suku bunga. adanya perubahan suku bunga tersebut akan mempengaruhi harga pasar.

Berbicara mengenai perlindungan hukumnya, sektor jasa keuangan khususnya bidang perbankan merupakan bidang yang dalam aktivitasnya sangat mengandalkan kepercayaan masyarakat. Dengan demikian, dalam rangka menjaga kepercayaan masyarakat terhadap lembaga-lembaga perbankan, perlu ada suatu bentuk perlindungan hukum yang dapat

5

Ferry N. Idroes, Manajemen Risiko Perbankan: Pemahaman Pendeketan 3 Pilar Kesepakatan Basel II Terkait Aplikasi Regulasi dan Pelaksanaannya di Indonesia, ed. 1, (Jakarta: PT RajaGrafindo Persada, 2008), hlm. 55.

(6)

melindungi baik masyarakat dan bank itu sendiri dari hal-hal yang tidak diinginkan yang dapat merusak kepercayaan masyarakat. Internet banking sebagai salah satu produk bank disatu sisi memang memberikan banyak manfaat, namun disisi lain juga terdapat risiko-risiko yang dapat menimbulkan kerugian bagi bank maupun nasabah. Di Indonesia, belum ada pengaturan khusus yang mengatur mengenai perlindungan hukum terkait internet banking. Namun penerapan yang baik dalam beberapa aspek dalam internet banking, seperti pada sistem keamanan dan transparansi informasi produk serta beberapa peraturan secara langsung dapat memberikan perlindungan hukum bagi Bank dan Nasabah. Selain itu dalam beberapa peraturan perundang-undangan terkait kewenangan Bank Indonesia sebagai Bank Sentral serta Otoritas Jasa Kewenangan sebagai badan pengawas juga secara tidak langsung dapat memberikan perlindungan terhadap aktivitas ini.

Metode Penelitian

Metode penelitian yang digunakan dalam penelitian ini adalah yuridis normatif. Dalam penelitian ini, penulis menekannya pada pendekatan normatif dimana dilakukan dengan menggambarkan bagaimana ketentuan mengenai aktivitas pelayanan jasa bank melalui internet (internet banking) dan bagaimana penerapan ketentuan tersebut di Bank X dapat memberikan perlindungan hukum bagi Bank itu sendiri dan nasabahnya. Penelitian ini dari sifatnya merupakan penelitian deskriptif yaitu penelitian yang bertujuan untuk menggambarkan atau menjelaskan lebih dalam suatu gejala dimana pada penelitian ini berkaitan dengan aktivitas pelayanan jasa bank melalui internet (internet banking).

Pada penelitian ini data yang diperlukan adalah data primer dan data sekunder. Untuk mengumpulkan data primer maka penulis akan melakukan wawancara dengan pihak Bank X untuk mengetahui bagaimana penerapan manajemen risiko dalam aktivitas pelayanan jasa bank melalui internet (internet banking) dikaitkan dengan perlindungan hukum bagi Bank dan nasabah. Dalam mengumpulkan data sekunder tersebut yang ada 3 (tiga) macam data yang akan dipergunakan yaitu:

1. Bahan hukum primer yaitu bahan hukum mengikat, berupa Undang-Undang Republik Indonesia Nomor 7 Tahun 1992 tentang Perbankan sebagaimana diubah dengan Undang-Undang Republik Indonesia Nomor 10 Tahun 1998 tentang Perubahan Atas Undang- Undang Republik Indonesia Nomor 7 Tahun 1992, Undang-Undang Nomor 11 Tahun 2008 tentang Informasi dan Transaksi Elektronik, Peraturan Bank Indonesia Nomor 5/8/PBI/2003 yang telah diubah dengan Peraturan Bank Indonesia

(7)

No.11/25/PBI/2009 tentang Penerapan Manajemen Risiko Bagi Bank Umum, Peraturan Bank Indonesia No. 9/15/PBI/2007 tentang Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum, Surat Edaran Bank Indonesia Nomor 6/18/DPNP tanggal 20 April 2004 tentang Pedoman Penerapan Manajemen Risiko pada Aktivitas Pelayanan Jasa Bank Melalui Internet (Internet Banking), serta peraturan perundang-undangan terkait lainnya.

2. Bahan hukum sekunder yaitu bahan hukum yang memberi penjelasan mengenai bahan hukum primer, berupa buku-buku, makalah, jurnal yang berhubungan dengan manajemen risiko dan kegiatan internet banking.

3. Bahan hukum tersier yaitu bahan hukum yang bersifat menunjang sumber hukum primer dan sumber hukum sekunder, seperti kamus hukum, kamus bahasa, ensiklopedia, dan website resmi dari internet.

Data-data yang diperoleh kemudian akan diolah dengan metode kualitatif. Penulis akan mempelajari mengenai ketentuan-ketentuan yang berkaitan dengan manajemen risiko terkait aktivitas pelayanan jasa bank melalui internet (internet banking). Penulis juga melakukan wawancara dengan pihak Bank X guna mendukung data-data yang diperoleh. Kemudian berdasarkan hasil wawancara dengan pihak Bank X, penulis akan menganalisis apakah penerapan manajemen risiko terkait aktivitas pelayanan jasa bank melalui internet (internet banking) di Bank X sesuai dengan ketentuan yang berlaku, yakni Surat Edaran Bank Indonesia Nomor 6/18/DPNP tanggal 20 April 2004 tentang Pedoman Penerapan Manajemen Risiko pada Aktivitas Pelayanan Jasa Bank Melalui Internet (Internet Banking), sehingga dapat memberikan perlindungan hukum bagi Nasabah dan Bank X sendiri.

Hasil Penelitian

Bank Indonesia mengeluarkan Surat Edaran Bank Indonesia Nomor 6/18/DPNP tanggal 20 April 2004 tentang Pedoman Penerapan Manajemen Risiko pada Aktivitas Pelayanan Jasa Bank Melalui Internet (Internet Banking) yang berfungsi sebagai peraturan pelaksana dari Peraturan Bank Indonesia Nomor 5/8/PBI/2003 tentang Penerapan Manajemen Risiko Bagi Bank Umum sebagaimana telah diubah dengan Peraturan Bank Indonesia No.11/25/PBI/2009 dan Peraturan Bank Indonesia No. 9/15/PBI/2007 tentang Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum. Surat Edaran Bank Indonesia

(8)

Nomor 6/18/DPNP tanggal 20 April 2004 menyatakan bahwa penerapan manajemen risiko terkait Internet Banking terbagi dalam tiga pokok yang tidak terpisahkan, yakni:

1.Pengawasan Aktif Komisaris dan Direksi Bank 2.Pengendalian Pengamanan

3.Manajemen Risiko Hukum dan Reputasi

Berdasarkan hasil wawancara7 yang dilakukan, Bank X memiliki peraturan internal mengenai internet banking yakni Standar Pedoman Operasional Layanan Internet Banking (SPO Internet Banking). SPO Layanan Internet Banking ini dibuat mengacu kepada beberapa peraturan eksternal dari Bank seperti Undang-Undang dan peraturan yang dikeluarkan oleh Bank Indonesia dimana secara khusus mengacu pada Surat Edaran Bank Indonesia Nomor 16/8/DPNP tanggal 20 April 2004 tentang Pedoman Penerapan Manajemen Risiko Internet Banking Pada Bank Umum Terkait Perlindungan Hukum Bagi Bank dan Nasabah. Dalam SPO Layanan Internet Banking diatur mengenai teknis operasional internet banking yang berdasar pada prinsip kehati-hatian dan penerapan Good Corporate Governance (GCG). Kebijakan dan standar pedoman ini dibentuk dengan tujuan untuk menetapkan standarisasi dalam pengelolaan layanan internet banking agar Bank X dapat menyediakan layanan internet banking secara maksimal. SPO Layanan Internet Banking terus ditinjau secara berkala serta disempurnakan sesuai dengan perkembangan yang ada.8

I. Pengawasan Aktif Dewan Komisaris dan Direksi Bank

Berdasarkan Surat Edaran Bank Indonesia Nomor 6/18/DNPN tanggal 20 April 2004 tentang Pedoman Penerapan Manajemen Risiko Pada Aktivitas Pelayanan Jasa Bank Melalui Internet (Internet Banking), setiap Komisaris dan Direksi Bank umum memiliki kewajiban untuk melakukan pengawasan yang efektif terhadap aktivitas internet banking. Pengawasan tersebut dilakukan terhadap risiko yang terkait dengan aktivitas internet banking termasuk penetapan akuntabilitas, kebijakan dan proses pengendalian terhadap risiko tersebut. Di samping itu, Direksi Bank juga harus menyetujui dan melakukan kaji ulang terhadap aspek utama dari prosedur pengendalian pengamanan aktivitas internet banking.

7

Wawancara dilakukan dengan Bapak X (nama disamarkan), Kepala Kantor Cabang Wilayah Z dan Bapak Y (nama disamarkan), Person in Charge Teknologi Informasi Wilayah Z dari Bank X (nama bank disamarkan), pada tanggal 10 Desember 2014 jam 9.20

(9)

Secara umum, Dewan Komisaris Bank X memiliki beberapa tugas dan tanggung jawab dimana salah satunya adalah melakukan pengawasan terhadap pengurusan Bank yang dilakukan Direksi serta memberi nasihat kepada Direksi termasuk mengenai rencana kerja, pengembangan Bank, pelaksanaan ketentuan Anggaran Dasar dan Keputusan RUPS dan atau RUPS Luar Biasa dan peraturan perundang-undangan yang berlaku.9 Pada Bank X, aktivitas internet banking pelaksanaannya berada pada tanggung jawab Direktur Technology & Operations, dibantu dengan Senior Executive Vice President (SEVP) Transaction Banking. Berkaitan dengan prosedur pengendalian pengaman, dalam kebijakan internet banking Bank X yakni SPO Layanan Internet Banking yang mengatur mengenai teknis operasional aktivitas internet banking, juga mengatur mengenai prosedur pengendalian pengamanan. SPO Layanan Internet Banking sudah disetujui baik oleh Direktur Technology & Operations bersama-sama dengan SEVP Transaction Banking. Selain itu, Direktorat Technology & Operations dan Direktorat Transaction Banking juga kerap menyempurnakan SPO Layanan Internet Banking sesuai dengan perkembangan teknologi serta kebutuhan masyarakat, seperti penyempurnaan SPO Layanan Internet Banking pada tahun 2013 kemarin yang telah disetujui oleh Business Committee (BC).

II. Pengendalian Pengamanan

Untuk dapat mengakses layanan internet banking maka nasabah harus memiliki User ID dan Personal Identification Number (PIN). Dengan adanya User ID dan PIN sebagai metode pengujian identitas nasabah maka tidak sembarang orang bisa menggunakan layanan pada website tersebut terkecuali nasabah pengguna internet banking. User ID dan PIN sendiri dapat didapat oleh nasabah setelah nasabah tersebut meminta kepada Bank untuk dibukakan layanan internet banking dan melakukan aktivasi User ID dan PIN via ATM. Penggunaan User ID dan PIN dalam layanan internet banking ini berlaku pada kegiatan non-transaksional seperti pengecekan saldo dan mutasi rekening.10

Bagi kegiatan transaksional seperti pembelian, pembayaran dan transfer dana, Bank X menggunakan metode Two Factor Authentication atau biasa disebut 2FA yang merupakan kombinasi dari User ID - PIN dan token. Untuk medapatkan token, nasabah harus meminta langsung kepada Bank X dan melakukan aktivasi langsung pada saat permintaan tersebut dikabulkan. Token dimaksudkan untuk membuktikan bahwa pihak yang melakukan transaksi

9_{Laporan Tahunan Bank X Tahun 2013, hlm 389.}

(10)

adalah benar nasabah pengguna internet banking dan bahwa transaksi yang dilakukan adalah benar adanya. Pada awalnya nasabah harus memasukkan User ID dan PIN untuk dapat log in ke dalam website internet banking Bank X. Kemudian ketika akan melakukan transaksi, nasabah akan diminta untuk memasukkan angka tertentu yang didapat dari token.11

Berkaitan dengan penerapan prinsip pemisahan tugas, pelaksanaan layanan internet banking di Bank X dilakukan secara otomatis melalui suatu sistem tersendiri yang dijalankan oleh grup IT Operation Transaction Banking Support yang terus dikembangkan mengikuti perkembangan teknologi dan kebutuhan masyarakat. Namun seperti yang telah dijabarkan diatas, pelaksanaan layanan internet banking dilakukan dengan adanya kerjasama dua Direktorat di Bank X yakni Direktorat Technology & Operations dan Direktorat Transaction Banking. Sehingga kedua Direktorat tersebut adalah direktorat-direktorat yang memiliki akses terhadap jalannya aktivitas internet banking.12 Dari kedua direktorat tersebut, grup yang secara khusus memiliki akses langsung kepada aktivitas internet banking adalah grup IT Operations Transaction Banking Support dari Direktorat Technology & Operations dan grup Electronic Banking dari Direktorat Transaction Banking.13

Kedua grup tersebut memiliki tugasnya masing-masing walaupun keduanya bekerja sama secara paralel dan komprehensif. Grup IT Operations Transaction Banking Support adalah pihak yang memiliki hak akses terhadap internet banking dalam konteks sistem dan grup Electronic Banking adalah pihak yang memiliki hak akses pada internet banking dalam konteks produk14. Apabila dianalogikan misalnya terjadi suatu permasalahan pada transaksi yang dilakukan oleh nasabah melalui layanan internet banking dimana transfer dana yang dilakukan oleh nasabah tidak sampai kepada rekening tujuan. Maka grup Electronic Banking memiliki tugas untuk mengecek apakah nasabah yang melakukan transaksi adalah benar nasabah pengguna internet banking Bank X dan transaksi yang dilakukan oleh nasabah tersebut valid atau tidak, jika memang transaksi tersebut valid maka kemudian grup IT Operations Transaction Banking Support memiliki tugas untuk mengecek apakah kemudian memang terjadi kesalahan pada sistem internet banking.

11

berdasarkan hasil wawancara penulis dengan Bapak X dan Bapak Y dari Bank X 12

berdasarkan hasil wawancara penulis dengan Bapak X dan Bapak Y dari Bank X 13_{Laporan Tahunan Bank X Tahun 2013, hlm 67.}

(11)

Bank X memiliki beberapa metode untuk mengendalikan penggunaan hak akses terhadap sistem yakni:15

a) adanya mesin tes sidik jari untuk memasuki ruangan yang memiliki akses terhadap sistem dan database internet banking;

b) adanya password dan username yang harus dimasukkan apabila pegawai bank akan menggunakan komputer yang memiliki akses kepada sistem dan database internet banking;

c) adanya alarm yang melindungi komputer, aplikasi serta ruangan yang memiliki akses kepada sistem dan database internet banking, yang dapat berbunyi apabila dilakukan tindakan-tindakan yang ganjil;

d) adanya cctv di setiap ruangan kantor Bank X;

e) harus ada suatu alasan yang jelas sesuai dengan SPO Layanan Internet Banking bagi satu pihak untuk dapat mengakses sistem dan data base internet banking.

Dengan adanya kelima metode yang dipakai Bank X untuk melakukan pengendalian terhadap hak ases terhadap sistem tersebut maka dapat dikatakan bahwa cakupan minimum mengenai pengendalian hak akses pada sistem internet banking Bank X telah terpenuhi.

Untuk melindungi integritas data dan kerahasiaan informasi dari nasabah dan transaksi yang dilakukan melalui internet banking, Bank biasanya memiliki sistem keamanan berlapis yang dimaksudkan untuk menjaga integritas data dan kerahasiaan informasi tersebut. Dalam hal ini, Bank X menggunakan sistem keamanan standard internasional yakni enkripsi SSL 128 bit (Secure Socket Layer 128 bit Encryption). Sistem keamaan SSL 128 bit tersebut akan mengacak data transaksi ketika transaksi dilakukan sehingga data tidak akan bisa berpindah kepada oarng lain yang tidak bertanggung jawab secara utuh. Selain itu, Bank X juga memiliki pengamanan pintu akses dengan Firewall (ISP>Web Server>Data Server>Host).16 Dengan adanya pengamanan pintu akses tersebut maka data dan informasi yang berpindah dari nasabah ke bank tidak akan dapat dicuri oleh pihak yang tidak bertanggung jawab.

Selain kedua sistem pengamanan tersebut, Bank X juga menerapkan beberapa metode yang secara tidak langsung dapat mengurangi risiko terjadinya hal yang tidak diinginkan yakni:17

15

berdasarkan hasil wawancara penulis dengan Bapak X dan Bapak Y dari Bank X 16_{Buku Petunjuk Penggunaan Internet Banking Bank X, hlm. 6.}

(12)

a) Mouse over Warning Access, dimana apabila pada saat login nasabah dibawa ke website palsu maka secara otomatis akan ada peringatan akan website palsu tersebut;

b) Auto Logoff (Session Time out) jika Nasabah lupa log-out;

c) Nasabah dapat melihat seluruh aktivitas pada jangka waktu tertentu;

d) Seluruh aktivitas nasabah melalui internet banking akan dicatat oleh sistem.

Pencatatan yang dimaksud pada poin terakhir adalah pencatatan kronologis transaksi yang biasa disebut audit trail. Pada aktivitas internet banking, audit trail akan mencatat aktivitas dimulai dari pada saat nasabah log in ke website internet banking dengan memasukkan User ID dan PIN, kegiatan yang dilakukan baik non-transaksional maupun transaksional, hingga kemudian nasabah log out dari website tersebut.

III. Manajemen Risiko Hukum dan Reputasi

Agar dapat memenuhi harapan nasabah, suatu Bank harus dapat menyediakan layanan internet banking secara konsisten dan tepat waktu. Untuk itu, Bank harus dapat mengelola dua risiko yang paling dipengaruhi oleh layanan internet banking yakni risiko hukum dan risiko reputasi, dengan baik. Bank harus memiliki kapasitas, kontinuitas saha serta perencanaan darurat yang efektif jika terjadi kejadian yang tidak diharapkan. Dalam mengelola manajemen risiko hukum dan risiko reputasi tersebut maka ada tiga hal utama yang harus dipenuhi oleh Bank yakni penyediaan informasi layanan internet banking, penerapan ketentuan kerahasiaan nasabah dan kesinambungan usaha dan perencanaan darurat apabila terjadi bencana.

Bank X menyediakan beberapa informasi mengenai identitas dan status hukum Bank pada websitenya yakni http://www.bankx.co.id (nama bank disamarkan). Informasi-informasi tersebut terdiri dari:

a) Nama dan tempat kedudukan Bank b) Identitas otoritas pengawasan Bank

c) Tata cara bagi nasabah untuk mengakses unit pelayanan nasabah apabila terhadap masalah, pengaduan, penyalahgunaan rekening, keluhan dan sebagainya

d) Tata cara bagi nasabah untuk memperoleh informasi mengenai penjamin simpanan dan perlindungan nasabah lainnya

(13)

Bank X juga menyediakan informasi terkait layanan internet banking yang ditawarkannya melalui webistenya yakni http://ib.bankx.co.id (nama bank disamarkan). Dalam website tersebut, Bank X menyediakan informasi berbentuk demo yang disajikan dalam format video dan petunjuk yang dapat dilihat secara online maupun di download oleh nasabah dalam bentuk file PDF. Petunjuk yang disajikan berupa keterangan mengenai:

a)Keuntungan dan keamanan bertransaksi menggunakan internet banking Bank X; b)2 (dua) langkah pendaftaran untuk dapat menggunakan internet banking Bank X; c)Cara registrasi di mesin ATM Bank X;

d)Cara aktivasi di webiste Bank X; e)Cara penggunaan token;

f)Cara Bertransaksi;

Bank memiliki kebijakan sendiri mengenai Kerahasiaan Nasabah dalam bentuk Surat Edaran Internal Bank X.18 Pada aktivitas internet banking Bank X, implementasi kebijakan tersebut terdiri dari beberapa hal, yakni19:

1) Aplikasi Internet Banking Bank X dijamin kerahasiaan dan keamanannya, dalam hal ini Bank X menggunakan teknologi enkripsi Secure Socket Layer (SSL) 128 bit dan Firewall, yang akan melindungi komunikasi antara komputer Nasabah dengan server Bank X. Untuk menambah keamanan digunakan metode time out session, dimana setelah 10 menit tanpa aktivitas Nasabah, maka akses akan tidak aktif lagi. 2) Bank X akan menjaga kerahasian data pengguna Internet Banking Bank X, dan

hanya orang tertentu yang berhak untuk mengakses informasi tersebut untuk digunakan sebagaimana mestinya (dalam hal ini Bank X akan selalu mengingatkan karyawan akan pentingnya menjaga kerahasian data Nasabah). Bank X tidak akan memperlihatkan/menjual data tersebut kepada pihak ke tiga.

3) Bank X juga tidak secara otomatis mengumpulkan informasi data pengunjung Internet Banking Bank X, hanya beberapa informasi umum yang akan dikumpulkan dan digunakan antara lain :

a. Nama domain yang akan digunakan Nasabah untuk mengakses internet;

18

berdasarkan hasil wawancara dengan Bapak X dan Bapak Y dari Bank X

19_{diambil dari website Bank X, http://www.bankx.co.id (nama bank disamarkan) pada tanggal 12} Desember 2014 jam 16:57

(14)

b. Internet address yang digunakan untuk mengakses web site Bank X c. Browser yang digunakan;

d. Hari, tanggal & waktu mengakses internet;

e. Pilihan yang ditentukan oleh Nasabah untuk memberikan informasi kepada Bank, antara lain jenis rekening.

Selain itu, untuk dapat mengakses Internet Banking Bank X, Nasabah harus memasukkan terlebih dahulu User ID dan PIN, dan untuk keamanan Nasabah diharuskan memasukkan kembali PIN untuk setiap transaksi yang bersifat finansial.

Sudah menjadi suatu kewajiban bagi suatu Bank untuk memiliki Business Continuity Plan dan Disaster Recovery Plan dalam menjalankan kegiatan usahanya. Memenuhi kewajiban tersebut Bank X memiliki suatu rencana komprehensif yang bernama Business Continuity Management (BCM).20 BCM Bank X berisikan langkah-langkah yang harus diambil sebelum, selama dan setelah terjadinya suatu keadaan bencana. Kebijakan dan prosedur yang diatur di dalam BCM Bank X mencakup Emergency Response Plan (ERP), Disaster Recovery Plan (DRP) dan Business Continuity Plan (BCP). ERP adalah panduan yang digunakan untuk menjamin keamanan dan keselamatan jiwa pegawai dalam kondisi bencana. DRP adalah rencana kerja untuk persiapan dan pemulihan dari bencana yang berdampak kepada layanan Teknologi Informasi, sedangkan BCP adalah prosedur dan informasi yang dibuat untuk menjaga kelangsungan operasional suatu unit kerja. Bank X menerapankan prinsip Dual Disaster Recovery Center pada DRP untuk memastikan adanya kehandalan infrastruktur Teknologi Informasi Bank X dalam menangani bencana.21

Selain itu, Bank X juga memiliki Data Center cadangan yang juga menyimpan data transaksi secara paralel dengan Data Center utamanya untuk mempersiapkan jika terjadi suatu bencana yang berdampak pada Data Center utama. Data center cadangan ini tempatnya dirahasiakan dan hanya diketahui oleh pihak yang berwenang. Akses terhadap Data Center cadangan tersebut juga terbatas hanya pada pihak yang berwenang tersebut sehingga tidak sembarang orang dapat masuk ke dalam Data Center cadangan. Di samping itu, pembukaan Data Center cadangan juga hanya dapat dilakukan dalam kondisi tertentu.22

20_{berdasarkan hasil wawancara dengan Bapak X dan Bapak Y dari Bank X} 21_{Laporan Tahunan Bank X Tahun 2013, hlm. 271.}

(15)

Pembahasan

Ketentuan-ketentuan hukum mengenai manajemen risiko oleh bank umum terkait internet banking diatur di dalam suatu pengaturan khusus yakni melalui Surat Edaran Bank Indonesia Nomor 6/18/DPNP tanggal 20 April 2004 tentang Pedoman Penerapan Manajemen Risiko pada Aktivitas Pelayanan Jasa Bank Melalui Internet (Internet Banking), yang kemudian merupakan suatu acuan bagi Bank dalam melaksanakan kegiataan internet banking. Penerapan manajemen risiko pada kegiatan internet banking berdasarkan Surat Edaran Bank Indonesia tersebut mencakup pengawasan aktif dewan komisaris dan direksi, pengendalian pengaman serta manajemen risiko hukum dan reputasi.

Penerapan manajemen risiko internet banking oleh Bank X dilaksanakan berdasarkan Standar Pedoman Operasional Internet banking (SPO Internet Banking). SPO Internet Banking tersebut dibuat dengan berpedoman secara khusus pada Surat Edaran Bank Indonesia Nomor 6/18/DPNP tanggal 20 April 2004 tentang Pedoman Penerapan Manajemen Risiko pada Aktivitas Pelayanan Jasa Bank Melalui Internet (Internet Banking). Bank X telah memenuhi cakupan minimum yang diwajibkan oleh Bank Indonesia, melalui Surat Edaran Bank Indonesia Nomor 6/18/DPNP tanggal 20 April 2004.

Pengawasan kegiatan internet banking dari dewan komisaris dan direksi Bank X didelegasikan kepada Direktur Technology & Operations, dibantu dengan Senior Executive Vice President (SEVP) Transaction Banking. Berdasarkan penjabaran tugas dan tanggung jawab Direktur Technology & Operations serta SEVP Transaction Banking Bank X, maka dapat dikatakan bahwa Bank X telah memenuhi cakupan pengawasan aktif Komisaris dan Direksi Bank sesuai dengan yang ditentukan pada Surat Edaran Bank Indonesia Nomor 6/18/DNPN tanggal 20 April 2004 tentang Pedoman Penerapan Manajemen Risiko Pada Aktivitas Pelayanan Jasa Bank Melalui Internet (Internet Banking).

Terkait pengendalian pengamanan dalam internet banking dimana Bank X menggunakan metode 2FA (two factor authentication) yakni dengan User ID - PI dan Token untuk menguji identitas nasabah dan keaslian transaksi. Selain itu, Bank X juga menerapkan pemisahan tugas antara grup IT Operations Transaction Banking Support dan grup Electronic Banking sebagai dua pihak yang memiliki hak akses terhadap sistem dan kegiatan internet banking. Bank X juga menerapkan 5 (lima) metode dalam rangka pengendalian penggunaan hak akses yakni adanya username dan password, cctv, mesin sidik jari, alarm serta underlying khusus bagi suatu pihak untuk adpat mengakses sistem internet banking. Untuk melengkapi

(16)

pengendalian pengamanan, Bank X menggunakan enkripsi SSL 128 bit dan Firewall untuk melidungi integri tas data dan kerahasiaan informasi dari nasabah dan transaksi yang dilakukan melalui internet banking serta audit trail untuk mencatat semua histori dari transaksi yang dilakukan melalui internet banking. Maka dari itu, pengendalian pengamanan dalam internet banking Bank X telah sesuai dengan ketentuan yang berlaku.

Dalam mitigasi manajemen risiko hukum dan reputasi, Bank X menyediakan beberapa informasi terkait bank dan layanan internet banking serta kebijakan mengenai kerahasiaan nasabah di website Bank X. Bank X juga telah memiliki Business Continutiy Management (BCM) yang mencakup Emergency Response Plan (ERP), Disaster Recovery Plan (DRP) dan Business Continuity Plan (BCP), yang dimaksudkan agar Bank dapat menyediakan layanan perbankan, dimana salah satunya adalah internet banking, secara efektif dan tepat waktu dalam kondisi apapun. Adanya BCM yang mencakup kebijakan dan prosedur mengenai ERP, DRP dan BCP tersebut dapat dikatakan sebagai mekanisme penting yang dapat meminimalkan risiko operasional, risiko hukum dan risiko reputasi di Bank X. Dengan adanya BCM maka Bank X dapat menyediakan layanan internet banking secara konsisten dan tepat waktu memenuhi ekspektasi nasabah. Keberadaan BCM itu memberikan kepastian bahwa Bank X dapat menyediakan layanan internet banking kepada nasabah secara konsisten sesuai dengan ketentuan pada Surat Edaran Bank Indonesia Nomor 6/18/DNPN tanggal 20 April 2004.

Kesimpulan

Berdasarkan tiga poin yang telah diuraikan, maka dapat disimpulkan bahwa penerapan manajemen risiko terkait internet banking di Bank X telah sesuai dengan ketentuan yang ada pada Surat Edaran Bank Indonesia Nomor 6/18/DPNP tanggal 20 April 2004 tentang Pedoman Penerapan Manajemen Risiko pada Aktivitas Pelayanan Jasa Bank Melalui Internet (Internet Banking), sehingga dapat dikatakan memberikan perlindungan hukum kepada Bank dan Nasabah.

Saran

Untuk mendukung upaya preventif dengan menerapakan manajemen risiko yang dilakukan oleh Bank sebagai pihak penyedia jasa maka dibutuhkan suatu peraturan mengenai internet banking yang sistematis dan terintegrasi dengan standar yang baku. Bagi Bank X, dibutuhkan

(17)

adanya update sistem secara berkala sesuai dengan perkembangan teknologi yang ada sebagai upaya preventif akan terjadinya hal-hal yang tidak diinginkan.

Daftar Referensi

Idroes, Ferry N. (2008). Manajemen Risiko Perbankan: Pemahaman Pendekatan 3 Pilar Kesepakatan Basel II Terkait Aplikasi, Regulasi dan Pelaksanaannya di Indonesia, ed. 1. Jakarta: Rajawali Pers.

Kasidi. (2010). Manajemen Risiko, cet. 1. Bogor: Penerbit Ghalia Indonesia.

Riswandi, Budi Agus. (2005). Aspek Hukum Internet Banking. ed. 1. Jakarta: PT RajaGrafindo Persada.

Bank Indonesia. (2009) Peraturan Bank Indonesia tentang Perubahan Atas Peraturan Bank Indonesia Nomor 5/8/PBI/2003 Tentang Penerapan Manajemen Risiko bagi Bank Umum. Peraturan Bank Indonesia No. 11/ 25 /PBI/2009 j.o. PBI No 5/8/PBI/2003.

Bank Indonesia. (2004). Surat Edaran Bank Indonesia tentang Pedoman Penerapan Manajemen Risiko pada Aktivitas Pelayanan Jasa Bank Melalui Internet (Internet Banking), Surat Edaran Bank Indonesia No. 6/18/DPNP.

Laporan Tahunan Bank X Tahun 2013

Wawancara dengan Bapak X (nama disamarkan), Kepala Kantor Cabang Wilayah Z dan Bapak Y (nama disamarkan), Person in Charge Teknologi Informasi Wilayah Z dari Bank X (nama bank disamarkan), pada tanggal 10 Desember 2014 jam 9.20