73

7.4.2. Pengendalian dan Mitigasi Risiko

Mengingat risiko-risiko yang terdapat pada sistem aplikasi EUC sebaiknya pengembangan dan penggunaan sistem aplikasi EUC hanya dilakukan apabila kebutuhan pengguna begitu mendesak, detail, beragam, danatau penggunaan sistem aplikasi tersebut bersifat sementara. Disamping itu Bank harus senantiasa melakukan pengendalian yang memadai pada EUC. Bentuk-bentuk pengendalian yang harus diterapkan Bank mencakup paling kurang sebagai berikut: a. Pengendalian pada pengembangan, pengujian dan perubahan aplikasi EUC antara lain: 1 setiap aplikasi EUC yang akan dikembangkan harus dilaporkan kepada Satuan Kerja TI; 2 Satuan Kerja TI harus memberikan persetujuansertifikasi sebelum aplikasi tersebut dapat digunakan oleh satuan kerja pengguna. Persetujuan diberikan setelah terlebih dahulu dilakukan analisis kecukupan aplikasi dari sisi fungsional, pengamanan fisik dan logik, serta kesesuaian aplikasi dengan kebutuhan pengguna; 3 Satuan Kerja TI harus menginventarisasi seluruh aplikasi EUC yang digunakan unit pengguna, termasuk setiap penambahan atau modifikasi yang ada; 4 dalam hal terdapat penambahan atau modifikasi terhadap aplikasi maka pengguna harus melaporkan ulang dan mendapat persetujuan dari satuan kerja TI sebagaimana dimaksud dalam huruf a dan b; 5 untuk menghindari dan melindungi kerahasiaan program dan data dari pihak yang tidak berwenang, Bank harus memiliki tindakan pengamanan terhadap data, source code dan executable file. Selain itu, Bank juga perlu mempertimbangkan kaidah-kaidah umum pengendalian pengembangan aplikasi sebagaimana diatur dalam Bab II Development Acquisition. b. Standar pengamanan pada setiap aplikasi EUC dengan mengacu kepada Kebijakan Pengamanan Informasi sebagaimana dimaksud pada Bab V. Pengamanan Informasi yang diperlukan untuk meminimalkan risiko operasional. Standar tersebut paling kurang mencakup hal-hal sebagai berikut: 1 proses validasi diperlukan dalam melakukan input data ke aplikasi EUC secara manual maupun transmisi antar-komputer download, upload atau transfer secara elektronis melalui suatu jaringan untuk menjamin integritas data; 2 pengendalian yang memadai pada tahap penyiapan data, pelaksanaan input, pemrosesan, distribusi output, dan proses rekonsiliasi perlu ditetapkan oleh Bank. Hal ini diterapkan terutama pada aplikasi EUC yang digunakan untuk memproses informasi keuangan Bank atau nasabah karena harus memperhatikan terjaminnya integritas data dan tersedianya audit trail; 74 3 manajemen Bank perlu melakukan backup data dan aplikasi EUC secara periodik. Selain itu DRP dan BCP Bank harus memperhitungkan risiko yang terkait dengan aplikasi EUC.

7.5. AUDIT INTERN