93

9.2.4 Peranan Komite Audit

Peran dan tanggung jawab Komite Audit : 1. melakukan pemantauan dan evaluasi atas perencanaan dan pelaksanaan audit TI yang cukup dengan frekuensi dan lingkup audit yang memadai; 2. pemantauan tindak lanjut hasil audit oleh direksi atas hasil temuan SKAI, akuntan publik dan hasil pengawasan Bank Indonesia.

9.3. PEDOMAN AUDIT TI

Bank perlu memiliki pedoman audit TI tertulis dan disetujui oleh direksi. Kompleksitas pedoman audit TI disesuaikan dengan tujuan, kebijakan usaha, ukuran dan kompleksitas usaha Bank. Pedoman audit TI antara lain berisi kebijakan dan prosedur yang diperlukan oleh fungsi audit intern TI dan kebijakan dan prosedur pelaksanaan fungsi audit intern oleh pihak lain apabila diperlukan oleh Bank. Pedoman tersebut disamping digunakan sebagai sarana untuk mencapai hasil audit yang efektif dan efisien, juga merupakan pedoman dalam menilai kinerja fungsi audit intern TI. Pedoman tersebut harus memuat kebijakan, prosedur dan standar untuk setiap tahap dalam siklus audit.

9.3.1. Kebijakan Umum Audit

Pedoman audit intern TI paling kurang mencakup kebijakan umum mengenai: a. pernyataan visi dan misi fungsi audit intern TI; b. struktur organisasi dan sistem pelaporan; c. proses penilaian risiko yang menggambarkan risiko inheren di setiap satuan kerja penyelenggara TI dan satuan kerja pengguna TI yang dikinikan secara berkala dan dijadikan dasar untuk perencanaan audit intern TI; d. penentuan frekuensi dan jadwal audit yang minimal akan diterapkan Bank untuk audit TI. Audit terhadap penyelenggaraan TI harus direncanakan dan dilaksanakan sekurang-kurangnya 1 satu kali dalam setahun terhadap aspek-aspek yang terkait TI sesuai kebutuhan, prioritas dan hasil analisis risiko TI Bank. Sedangkan untuk aplikasi Core Banking, keseluruhan modul hendaknya diperiksa oleh audit intern TI sekurang-kurangnya sekali dalam 3 tiga tahun; e. prosedur audit intern TI untuk setiap aktivitas yang memerlukan audit TI.

9.3.2. Perencanaan Audit

SKAI Bank harus memiliki perencanaan audit tahunan dengan cakupan audit berdasarkan profil risiko pada masing-masing aktivitas terkait TI baik di satuan kerja 94 TI maupun di satuan kerja pengguna TI. Dalam melakukan penilaian risiko, audit intern TI sekurang-kurangnya melakukan beberapa hal sebagai berikut: a. mengidentifikasi data, aplikasi dan sistem operasi, teknologi, fasilitas dan personil; b. mengidentifikasi kegiatan dan proses bisnis yang menggunakan TI; c. mempertimbangkan skala prioritas berdasarkan dampak dan kemungkinan terjadinya risiko atas kegiatan bisnis terkait dengan TI. Perencanaan Audit harus mendapat persetujuan dari Presiden Direktur atau Direktur Utama.

9.3.3. Pelaksanaan Audit

Dalam rangka melaksanakan rencana tahunan audit, program audit AWPaudit working program wajib disusun untuk setiap penugasan audit, yang sekurang- kurangnya mencakup: a. organisasi, kewenangan dan tanggung jawab dari auditor; b. cakupan audit sesuai hasil penilaian risiko; c. tujuan audit, jadwal, jumlah auditor, anggaran dan pelaporan; d. outline langkah teknis audit yang diperlukan untuk mencapai tujuan audit. Dalam pelaksanaan tugasnya, audit intern TI harus memperhatikan aspek-aspek kerahasiaan terhadap data dan informasi yang diperolehnya. SKAI Bank harus memperhatikan fleksibilitas AWP agar dapat disesuaikan dan dilengkapi sesuai dengan risiko yang diidentifikasi. Temuan audit harus disertai dengan bukti-bukti dan kertas kerja pemeriksaan yang didokumentasikan dengan baik. Untuk itu pedoman audit wajib dilengkapi dengan standar kertas kerja, isi dan format laporan hasil audit, dokumentasi dan distribusi serta pemantauan tindak Ianjutnya. Auditor intern TI perlu berperan dalam pengembangan aplikasi utama, pengadaan, konversi dan testing namun tidak sebagai penentu dapat tidaknya aplikasi yang dikembangkan atau diadakan diimplementasikan, melainkan berpartisipasi sebagai nara sumber dalam aspek pengendalian khususnya mengenai standar pengamanan yang diperlukan. Peran ini diperlukan agar auditor TI dapat menjaga independensi dan obyektifitas dalam pemeriksaan yang akan dilakukan nanti apabila sistem aplikasi telah diimplementasikan.

9.3.4. Pelaporan