91
BAB IX AUDIT INTERN TEKNOLOGI INFORMASI
9.1. PENDAHULUAN
Sistem Pengendalian Intern SPI yang efektif merupakan komponen penting dalam manajemen Bank dan menjadi dasar bagi kegiatan operasional Bank yang sehat
dan aman. SPI yang efektif dapat membantu pengurus Bank menjaga aset Bank, menjamin tersedianya pelaporan keuangan dan manajerial yang dapat dipercaya,
meningkatkan kepatuhan Bank terhadap ketentuan dan peraturan perundang-undangan yang berlaku, serta mengurangi risiko terjadinya kerugian, penyimpangan dan
pelanggaran aspek kehati-hatian. Penggunaan sarana Teknologi Informasi TI disamping meningkatkan
kemampuan Bank melaksanakan kegiatan operasional, juga mengandung risiko yang dapat mengakibatkan kerugian, baik yang bersifat finansial maupun non-finansial. Oleh
karena itu SPI sangat perlu diterapkan sebagai salah satu upaya meminimalkan kerugian dimaksud. Fungsi audit intern sebagai salah satu bagian dari SPI,
bertanggungjawab dalam melakukan evaluasi terhadap penyelenggaraan TI secara independen dan objektif untuk meningkatkan efisiensi dan efektifitas manajemen
risiko, pengendalian intern dan tata kelola yang baik. Pedoman ini dimaksudkan untuk menjadi pedoman minimal bagi Bank dalam
melaksanakan audit intern pada bidang TI.
9.2. TUGAS DAN TANGGUNG JAWAB MANAJEMEN
Audit intern Teknologi Informasi merupakan bagian dari Satuan Kerja Audit Intern SKAI yang independen dari tugas operasional baik secara organisasi maupun
fungsinya. Dalam rangka melaksanakan kegiatannya, audit Intern harus memperoleh dukungan dari manajemen yang diformalkan dalam Audit Charter. Audit Charter
minimal berisikan informasi mengenai kedudukan, tujuan dan ruang lingkup kerja, tugas, wewenang dan tanggung jawab audit Intern. Audit Charter tersebut juga memuat
pernyataan independensi terhadap kegiatan operasional dari auditee dan pernyataan bahwa setiap aktivitas Bank harus masuk dalam ruang lingkup audit intern Bank.
Keberhasilan audit intern TI memerlukan dukungan Dewan Komisaris, Komite Audit dan Direksi. Ketiga pihak tersebut perlu memastikan kerja sama antara
manajemen satuan kerja TI dan manajemen satuan pengguna Teknologi Informasi dengan satuan kerja audit TI. Disamping itu ketiga pihak tersebut perlu pula
memastikan bahwa implementasi pengendalian dan pelaksanaan prosedur dan standar dilakukan oleh satuan kerja TI dan satuan kerja pengguna TI. Demikian juga perlu
dipastikan bahwa proses audit mencakup upaya verifikasi dan pemantauan
92
implementasi pengendalian dan pelaksanaan prosedur dan standar secara memadai, tepat waktu dan independen.
9.2.1 Tugas Satuan Kerja Audit Intern
Agar audit intern TI efektif dan dapat menjamin integritas data dan menunjang kelangsungan operasional Bank, SKAI sekurang-kurangnya melakukan beberapa hal
berikut: a.
menyusun dan mengkinikan pedoman kerja yang sekurang-kurangnya mencakup standar baku prosedur pemeriksaan, kertas kerja dan pelaporan hasil pemeriksaan;
b. mengidentifikasi area risiko TI yang akan menjadi fokus audit;
c. melakukan evaluasi terhadap fungsi dan kecukupan pengendalian intern dalam
sistem informasi Bank; d.
memastikan penerapan prinsip kerahasiaan confidentiality, integritas integrity dan ketersediaan availability TI;
e. mengevaluasi efektifitas perencanaan dan pengawasan penyelenggaraan TI yang
dilakukan oleh satuan kerja TI dan satuan kerja pengguna TI; f.
mengevaluasi kepatuhan TI Bank terhadap ketentuan intern, ketentuan Bank Indonesia dan ketentuan perundang-undangan yang berlaku serta international best
practices misalnya ISO, IEC, COBIT, IT-IL, Capability Maturity Model; g.
menyarankan alternatif perbaikan untuk mengatasi kekurangan aspek-aspek terkait TI khususnya di bidang pengamanan;
h. melakukan pemantauan terhadap tindak lanjut atas hasil audit;
i. berperan sebagai nara sumber dalam aspek pengendalian dalam hal Bank
melakukan pengembangan penyelenggaraan TI seperti pengembangan aplikasi.
9.2.2 Peranan Dewan Komisaris
Tugas utama komisaris terkait penggunaan TI antara lain melakukan evaluasi terhadap perencanaan dan pelaksanaan audit, memastikan audit dilaksanakan dengan frekuensi
dan lingkup yang memadai serta melakukan pemantauan atas tindak lanjut hasil audit.
9.2.3 Peranan Direksi
Adapun peran dan tanggung jawab Direktur Utama antara lain: a.
menetapkan pedoman, sistem dan prosedur audit intern; b.
memastikan terselenggaranya fungsi audit TI oleh sumber daya yang kompeten dan independen;
c. memastikan sumber daya manusia pelaksana audit intern TI memadai dan
berkualitas serta memperoleh pendidikan dan pelatihan TI yang diperlukan secara berkelanjutan sehingga dapat mengikuti perkembangan TI;
d. menyetujui rencana audit sebelum dilaksanakan.
93
9.2.4 Peranan Komite Audit
Peran dan tanggung jawab Komite Audit : 1.
melakukan pemantauan dan evaluasi atas perencanaan dan pelaksanaan audit TI yang cukup dengan frekuensi dan lingkup audit yang memadai;
2. pemantauan tindak lanjut hasil audit oleh direksi atas hasil temuan SKAI, akuntan
publik dan hasil pengawasan Bank Indonesia.
9.3. PEDOMAN AUDIT TI
Bank perlu memiliki pedoman audit TI tertulis dan disetujui oleh direksi. Kompleksitas pedoman audit TI disesuaikan dengan tujuan, kebijakan usaha, ukuran dan
kompleksitas usaha Bank. Pedoman audit TI antara lain berisi kebijakan dan prosedur yang diperlukan
oleh fungsi audit intern TI dan kebijakan dan prosedur pelaksanaan fungsi audit intern oleh pihak lain apabila diperlukan oleh Bank. Pedoman tersebut disamping
digunakan sebagai sarana untuk mencapai hasil audit yang efektif dan efisien, juga merupakan pedoman dalam menilai kinerja fungsi audit intern TI. Pedoman tersebut
harus memuat kebijakan, prosedur dan standar untuk setiap tahap dalam siklus audit.
9.3.1. Kebijakan Umum Audit
Pedoman audit intern TI paling kurang mencakup kebijakan umum mengenai: a.
pernyataan visi dan misi fungsi audit intern TI; b.
struktur organisasi dan sistem pelaporan; c.
proses penilaian risiko yang menggambarkan risiko inheren di setiap satuan kerja penyelenggara TI dan satuan kerja pengguna TI yang
dikinikan secara berkala dan dijadikan dasar untuk perencanaan audit intern TI;
d. penentuan frekuensi dan jadwal audit yang minimal akan diterapkan Bank
untuk audit TI. Audit terhadap penyelenggaraan TI harus direncanakan dan dilaksanakan sekurang-kurangnya 1 satu kali dalam setahun terhadap aspek-aspek
yang terkait TI sesuai kebutuhan, prioritas dan hasil analisis risiko TI Bank. Sedangkan untuk aplikasi Core Banking, keseluruhan modul hendaknya diperiksa
oleh audit intern TI sekurang-kurangnya sekali dalam 3 tiga tahun; e.
prosedur audit intern TI untuk setiap aktivitas yang memerlukan audit TI.
9.3.2. Perencanaan Audit
SKAI Bank harus memiliki perencanaan audit tahunan dengan cakupan audit berdasarkan profil risiko pada masing-masing aktivitas terkait TI baik di satuan kerja
94
TI maupun di satuan kerja pengguna TI. Dalam melakukan penilaian risiko, audit intern TI sekurang-kurangnya melakukan beberapa hal sebagai berikut:
a. mengidentifikasi data, aplikasi dan sistem operasi, teknologi, fasilitas dan personil;
b. mengidentifikasi kegiatan dan proses bisnis yang menggunakan TI;
c. mempertimbangkan skala prioritas berdasarkan dampak dan kemungkinan
terjadinya risiko atas kegiatan bisnis terkait dengan TI. Perencanaan Audit harus mendapat persetujuan dari Presiden Direktur atau Direktur
Utama.
9.3.3. Pelaksanaan Audit
Dalam rangka melaksanakan rencana tahunan audit, program audit AWPaudit working program wajib disusun untuk setiap penugasan audit, yang sekurang-
kurangnya mencakup: a.
organisasi, kewenangan dan tanggung jawab dari auditor; b.
cakupan audit sesuai hasil penilaian risiko; c.
tujuan audit, jadwal, jumlah auditor, anggaran dan pelaporan; d.
outline langkah teknis audit yang diperlukan untuk mencapai tujuan audit. Dalam pelaksanaan tugasnya, audit intern TI harus memperhatikan aspek-aspek
kerahasiaan terhadap data dan informasi yang diperolehnya. SKAI Bank harus memperhatikan fleksibilitas AWP agar dapat disesuaikan dan dilengkapi sesuai dengan
risiko yang diidentifikasi. Temuan audit harus disertai dengan bukti-bukti dan kertas kerja pemeriksaan yang
didokumentasikan dengan baik. Untuk itu pedoman audit wajib dilengkapi dengan standar kertas kerja, isi dan format laporan hasil audit, dokumentasi dan
distribusi serta pemantauan tindak Ianjutnya. Auditor intern TI perlu berperan dalam pengembangan aplikasi utama, pengadaan,
konversi dan testing namun tidak sebagai penentu dapat tidaknya aplikasi yang dikembangkan atau diadakan diimplementasikan, melainkan berpartisipasi sebagai nara
sumber dalam aspek pengendalian khususnya mengenai standar pengamanan yang diperlukan. Peran ini diperlukan agar auditor TI dapat menjaga independensi dan
obyektifitas dalam pemeriksaan yang akan dilakukan nanti apabila sistem aplikasi telah diimplementasikan.
9.3.4. Pelaporan
Laporan Hasil Audit Intern TI disusun berdasarkan format laporan yang didukung oleh kertas kerja audit yang ditetapkan dalam pedoman audit intern. Laporan tersebut
merupakan sarana bagi manajemen untuk membantu melakukan penilaian terhadap kualitas dan kinerja satuan kerja TI, serta memberikan saran perbaikannya. Laporan
hasil audit intern TI harus disampaikan kepada satuan kerja yang diperiksa. Disamping itu laporan tersebut disampaikan secara tepat waktu kepada Direktur Utama dan
95
Dewan KomisarisKomite Audit dengan tembusan kepada Direktur Kepatuhan. Laporan Hasil Audit Intern TI disampaikan juga kepada Bank Indonesia sebagai
bagian dari Laporan Pelaksanaan dan Pokok-Pokok Hasil Audit Intern sebagaimana diatur dalam ketentuan mengenai penerapan standar pelaksanaan fungsi audit intern.
9.3.5. Tindak Lanjut Audit
Auditee harus memberikan tanggapan terhadap hasil pemeriksaan dan apabila temuan perlu ditindaklanjuti maka Auditee harus memberikan komitmen dan target waktu
penyelesaiannya. Selanjutnya, SKAI harus memonitor pelaksanaan komitmen auditee atas hasil pemeriksaan secara berkala dan melakukan verifikasi terhadap perbaikan
yang sudah dilakukan. Audit intern harus memelihara dokumentasi atas hasil tindak lanjut tersebut. Laporan
tindak lanjut hasil pemeriksaan disampaikan kepada Direktur Utama dan Dewan KomisarisKomite Audit dengan tembusan kepada Direktur Kepatuhan.
9.4. AUDIT INTERN TI YANG DILAKSANAKAN OLEH PIHAK LAIN
Dalam hal terdapat keterbatasan kemampuan fungsi audit intern atas Teknologi Informasi Bank maka pelaksanaan fungsi audit intern dapat dilakukan oleh auditor
ekstern seperti Kantor Akuntan Publik, Lembaga Audit TI Independen atau auditor intern kantor induk bagi bank yang dimiliki bank asing. Penggunaan auditor ekstern
untuk melaksanakan fungsi audit intern atas Teknologi Informasi Bank tidak mengurangi tanggung jawab pimpinan Satuan Kerja Audit Intern Bank atas temuan
audit dan tindak lanjutnya. Penggunaan pihak lain sebagai auditor intern TI tersebut wajib
mempertimbangkan kompleksitas produk dan skala usaha Bank. Pelaksanaan audit intern TI oleh auditor ekstern tetap memperhatikan aspek kompetensi antara lain
pengetahuan dan pengalaman yang memadai dan independensi serta didasari dengan suatu kontrak kerja. Meskipun pelaksanaan audit intern diserahkan kepada auditor
ekstern namun prosedur audit TI yang dilaksanakan tetap harus mengacu kepada kebijakan dan prosedur audit TI yang dimiliki oleh Bank.
9.5. AUDIT INTERN TERHADAP AKTIVITAS YANG DISELENGGARAKAN