73
7.4.2. Pengendalian dan Mitigasi Risiko
Mengingat risiko-risiko yang terdapat pada sistem aplikasi EUC sebaiknya pengembangan dan penggunaan sistem aplikasi EUC hanya dilakukan apabila
kebutuhan pengguna begitu mendesak, detail, beragam, danatau penggunaan sistem aplikasi tersebut bersifat sementara. Disamping itu Bank harus senantiasa melakukan
pengendalian yang memadai pada EUC. Bentuk-bentuk pengendalian yang harus
diterapkan Bank mencakup paling kurang sebagai berikut: a.
Pengendalian pada pengembangan, pengujian dan perubahan aplikasi EUC antara lain:
1 setiap aplikasi EUC yang akan dikembangkan harus dilaporkan kepada Satuan
Kerja TI; 2
Satuan Kerja TI harus memberikan persetujuansertifikasi sebelum aplikasi tersebut dapat digunakan oleh satuan kerja pengguna. Persetujuan diberikan
setelah terlebih dahulu dilakukan analisis kecukupan aplikasi dari sisi fungsional, pengamanan fisik dan logik, serta kesesuaian aplikasi dengan
kebutuhan pengguna; 3
Satuan Kerja TI harus menginventarisasi seluruh aplikasi EUC yang digunakan unit pengguna, termasuk setiap penambahan atau modifikasi yang ada;
4 dalam hal terdapat penambahan atau modifikasi terhadap aplikasi maka
pengguna harus melaporkan ulang dan mendapat persetujuan dari satuan kerja TI sebagaimana dimaksud dalam huruf a dan b;
5 untuk menghindari dan melindungi kerahasiaan program dan data dari pihak
yang tidak berwenang, Bank harus memiliki tindakan pengamanan terhadap data, source code dan executable file.
Selain itu, Bank juga perlu mempertimbangkan kaidah-kaidah umum pengendalian pengembangan aplikasi sebagaimana diatur dalam Bab II Development
Acquisition. b.
Standar pengamanan pada setiap aplikasi EUC dengan mengacu kepada Kebijakan Pengamanan Informasi sebagaimana dimaksud pada Bab V. Pengamanan Informasi
yang diperlukan untuk meminimalkan risiko operasional. Standar tersebut paling kurang mencakup hal-hal sebagai berikut:
1 proses validasi diperlukan dalam melakukan input data ke aplikasi EUC
secara manual maupun transmisi antar-komputer download, upload atau transfer secara elektronis melalui suatu jaringan untuk menjamin
integritas data; 2
pengendalian yang memadai pada tahap penyiapan data, pelaksanaan input, pemrosesan, distribusi output, dan proses rekonsiliasi perlu ditetapkan oleh
Bank. Hal ini diterapkan terutama pada aplikasi EUC yang digunakan untuk memproses
informasi keuangan
Bank atau
nasabah karena
harus memperhatikan terjaminnya integritas data dan tersedianya audit trail;
74
3 manajemen Bank perlu melakukan backup data dan aplikasi EUC secara
periodik. Selain itu DRP dan BCP Bank harus memperhitungkan risiko yang terkait dengan aplikasi EUC.
7.5. AUDIT INTERN