95 Dewan KomisarisKomite Audit dengan tembusan kepada Direktur Kepatuhan. Laporan Hasil Audit Intern TI disampaikan juga kepada Bank Indonesia sebagai bagian dari Laporan Pelaksanaan dan Pokok-Pokok Hasil Audit Intern sebagaimana diatur dalam ketentuan mengenai penerapan standar pelaksanaan fungsi audit intern.

9.3.5. Tindak Lanjut Audit

Auditee harus memberikan tanggapan terhadap hasil pemeriksaan dan apabila temuan perlu ditindaklanjuti maka Auditee harus memberikan komitmen dan target waktu penyelesaiannya. Selanjutnya, SKAI harus memonitor pelaksanaan komitmen auditee atas hasil pemeriksaan secara berkala dan melakukan verifikasi terhadap perbaikan yang sudah dilakukan. Audit intern harus memelihara dokumentasi atas hasil tindak lanjut tersebut. Laporan tindak lanjut hasil pemeriksaan disampaikan kepada Direktur Utama dan Dewan KomisarisKomite Audit dengan tembusan kepada Direktur Kepatuhan.

9.4. AUDIT INTERN TI YANG DILAKSANAKAN OLEH PIHAK LAIN

Dalam hal terdapat keterbatasan kemampuan fungsi audit intern atas Teknologi Informasi Bank maka pelaksanaan fungsi audit intern dapat dilakukan oleh auditor ekstern seperti Kantor Akuntan Publik, Lembaga Audit TI Independen atau auditor intern kantor induk bagi bank yang dimiliki bank asing. Penggunaan auditor ekstern untuk melaksanakan fungsi audit intern atas Teknologi Informasi Bank tidak mengurangi tanggung jawab pimpinan Satuan Kerja Audit Intern Bank atas temuan audit dan tindak lanjutnya. Penggunaan pihak lain sebagai auditor intern TI tersebut wajib mempertimbangkan kompleksitas produk dan skala usaha Bank. Pelaksanaan audit intern TI oleh auditor ekstern tetap memperhatikan aspek kompetensi antara lain pengetahuan dan pengalaman yang memadai dan independensi serta didasari dengan suatu kontrak kerja. Meskipun pelaksanaan audit intern diserahkan kepada auditor ekstern namun prosedur audit TI yang dilaksanakan tetap harus mengacu kepada kebijakan dan prosedur audit TI yang dimiliki oleh Bank.

9.5. AUDIT INTERN TERHADAP AKTIVITAS YANG DISELENGGARAKAN

OLEH PIHAK LAIN Agar penggunaan penyedia jasa penyelenggara Teknologi Informasi dapat menunjang kemampuan Bank untuk mengelola bisnisnya secara efektif maka aktivitas tersebut juga merupakan ruang lingkup audit intern Bank. Fungsi audit intern Bank wajib memastikan pengendalian yang dioperasikan oleh pihak penyedia jasa dan melakukan pengujian atas efektivitas pengendalian tersebut. Bank harus memastikan bahwa perjanjian dengan pihak penyedia jasa mencakup klausul penyediaan hak akses bagi 96 auditor intern Bank dan tidak keberatan untuk diaudit oleh auditor intern Bank. Akses yang disediakan tersebut wajib diberikan baik secara logik maupun phisik.

9.6. KAJI ULANG FUNGSI AUDIT INTERN TI

Bank wajib melakukan kaji ulang atas fungsi audit intern atas penggunaan Teknologi Informasi paling kurang setiap 3 tiga tahun sekali. Kaji ulang tersebut wajib menggunakan jasa pihak ekstern yang independen dan bekerja secara independen. Yang dimaksud dengan independen adalah pihak diluar Bank yang tidak memiliki hubungan keuangan, kepengurusan, kepemilikan saham atau hubungan lain yang dapat mempengaruhi kemampuannya untuk bertindak independen. Yang dimaksud dengan bekerja secara independen adalah dapat mengungkapkan pandangan serta pemikiran sesuai dengan profesi, dengan tidak memihak terhadap kepentingan pihak lain. Kaji ulang yang dilakukan sekurang-kurangnya menilai hasil kerja SKAI dan kepatuhan terhadap ketentuan yang terkait dengan Standar Pelaksanaan Fungsi Audit Intern Bank dan manajemen risiko termasuk manajemen risiko dalam penggunaan teknologi informasi serta ketentuan lainnya. Hasil kaji ulang disertai saran perbaikan dilaporkan kepada Bank Indonesia dan merupakan bagian dari laporan kaji ulang fungsi audit intern SKAI sebagaimana diatur dalam ketentuan mengenai penerapan standar pelaksanaan fungsi audit intern. 97

BAB X PENGGUNAAN PIHAK PENYEDIA JASA

TEKNOLOGI INFORMASI

10.1. PENDAHULUAN

Dalam rangka meningkatkan efektivitas dan efisiensi pencapaian tujuan strategis, Bank dimungkinkan menggunakan pihak penyedia jasa TI. Yang dimaksud dengan menggunakan pihak penyedia jasa teknologi informasi adalah penggunaan jasa pihak lain dalam menyelenggarakan kegiatan Teknologi Informasi yang menyebabkan Bank memiliki ketergantungan terhadap jasa yang diberikan secara berkesinambungan dan atau dalam periode tertentu. Penggunaan pihak penyedia jasa TI dapat mempengaruhi risiko Bank antara lain risiko operasional, kepatuhan, hukum dan reputasi yang dapat timbul antara lain karena adanya kegagalan penyedia jasa dalam menyediakan jasa, pelanggaran terhadap pengamanan atau ketidakmampuan untuk mematuhi hukum dan peraturan yang berlaku. Untuk memastikan Bank menjalankan usahanya secara sehat dan aman, operasional TI yang dilakukan oleh penyedia jasa TI juga menjadi objek pengaturan dan pengawasan dari otoritas pengawas Bank. Bank Indonesia sebagai otoritas pengawas Bank memiliki kewenangan untuk mengawasi semua aktivitas dan catatan keuangan Bank baik yang dilakukan oleh Bank sendiri atau oleh pihak lain. Untuk itu pemeriksaan dan pengawasan Bank tidak boleh terhambat dengan adanya pengalihan fungsi-fungsi operasional Bank ke pihak lain.

10.2. TANGGUNG JAWAB MANAJEMEN

Manajemen Bank bertanggungjawab penuh terhadap penerapan manajemen risiko atas seluruh aktivitas yang terkait dengan penggunaan pihak penyedia jasa dalam penyelenggaraan TI Bank. Apabila Bank menyerahkan penyelenggaraan TI kepada pihak lain, tanggung jawab akhir accountability tetap berada pada Bank meskipun day-to-day responsibility telah dipindahkan kepada pihak penyedia jasa. Dengan demikian tanggung jawab manajemen tidak hilang atau menjadi berkurang dengan adanya penggunaan penyedia jasa TI. Untuk itu, manajemen Bank wajib mengelola risiko yang ditimbulkan dari kegiatan tersebut secara efektif antara lain dengan: a. memahami risiko-risiko secara menyeluruh yang dapat timbul sehubungan dengan pengunaan jasa pihak lain untuk menyelenggarakan sebagian atau keseluruhan operasional TI Bank;