9.1. PENDAHULUAN
Sistem Pengendalian Intern (SPI) yang efektif merupakan komponen penting dalam manajemen Bank dan menjadi dasar bagi kegiatan operasional Bank yang sehat dan aman. SPI yang efektif dapat membantu pengurus Bank menjaga aset Bank, menjamin tersedianya pelaporan keuangan dan manajerial yang dapat dipercaya, meningkatkan kepatuhan Bank terhadap ketentuan dan peraturan perundang-undangan yang berlaku, serta mengurangi risiko terjadinya kerugian, penyimpangan dan pelanggaran aspek kehati-hatian.
Penggunaan sarana Teknologi Informasi (TI) disamping meningkatkan kemampuan Bank melaksanakan kegiatan operasional, juga mengandung risiko yang dapat mengakibatkan kerugian, baik yang bersifat finansial maupun non-finansial. Oleh karena itu SPI sangat perlu diterapkan sebagai salah satu upaya meminimalkan kerugian dimaksud. Fungsi audit intern sebagai salah satu bagian dari SPI, bertanggungjawab dalam melakukan evaluasi terhadap penyelenggaraan TI secara independen dan objektif untuk meningkatkan efisiensi dan efektifitas manajemen risiko, pengendalian intern dan tata kelola yang baik.
Pedoman ini dimaksudkan untuk menjadi pedoman minimal bagi Bank dalam melaksanakan audit intern pada bidang TI.
9.2. TUGAS DAN TANGGUNG JAWAB MANAJEMEN
Audit intern Teknologi Informasi merupakan bagian dari Satuan Kerja Audit Intern (SKAI) yang independen dari tugas operasional baik secara organisasi maupun fungsinya. Dalam rangka melaksanakan kegiatannya, audit Intern harus memperoleh dukungan dari manajemen yang diformalkan dalam Audit Charter. Audit Charter
minimal berisikan informasi mengenai kedudukan, tujuan dan ruang lingkup kerja, tugas, wewenang dan tanggung jawab audit Intern. Audit Charter tersebut juga memuat pernyataan independensi terhadap kegiatan operasional dari auditee dan pernyataan bahwa setiap aktivitas Bank harus masuk dalam ruang lingkup audit intern Bank.
Keberhasilan audit intern TI memerlukan dukungan Dewan Komisaris, Komite Audit dan Direksi. Ketiga pihak tersebut perlu memastikan kerja sama antara manajemen satuan kerja TI dan manajemen satuan pengguna Teknologi Informasi dengan satuan kerja audit TI. Disamping itu ketiga pihak tersebut perlu pula memastikan bahwa implementasi pengendalian dan pelaksanaan prosedur dan standar dilakukan oleh satuan kerja TI dan satuan kerja pengguna TI. Demikian juga perlu
implementasi pengendalian dan pelaksanaan prosedur dan standar secara memadai, tepat waktu dan independen.
9.2.1 Tugas Satuan Kerja Audit Intern
Agar audit intern TI efektif dan dapat menjamin integritas data dan menunjang kelangsungan operasional Bank, SKAI sekurang-kurangnya melakukan beberapa hal berikut:
a. menyusun dan mengkinikan pedoman kerja yang sekurang-kurangnya mencakup standar baku prosedur pemeriksaan, kertas kerja dan pelaporan hasil pemeriksaan; b. mengidentifikasi area risiko TI yang akan menjadi fokus audit;
c. melakukan evaluasi terhadap fungsi dan kecukupan pengendalian intern dalam sistem informasi Bank;
d. memastikan penerapan prinsip kerahasiaan (confidentiality), integritas (integrity) dan ketersediaan (availability) TI;
e. mengevaluasi efektifitas perencanaan dan pengawasan penyelenggaraan TI yang dilakukan oleh satuan kerja TI dan satuan kerja pengguna TI;
f. mengevaluasi kepatuhan TI Bank terhadap ketentuan intern, ketentuan Bank Indonesia dan ketentuan perundang-undangan yang berlaku serta international best
practices (misalnya ISO, IEC, COBIT, IT-IL, Capability Maturity Model);
g. menyarankan alternatif perbaikan untuk mengatasi kekurangan aspek-aspek terkait TI khususnya di bidang pengamanan;
h. melakukan pemantauan terhadap tindak lanjut atas hasil audit;
i. berperan sebagai nara sumber dalam aspek pengendalian dalam hal Bank melakukan pengembangan penyelenggaraan TI seperti pengembangan aplikasi.
9.2.2 Peranan Dewan Komisaris
Tugas utama komisaris terkait penggunaan TI antara lain melakukan evaluasi terhadap perencanaan dan pelaksanaan audit, memastikan audit dilaksanakan dengan frekuensi dan lingkup yang memadai serta melakukan pemantauan atas tindak lanjut hasil audit.
9.2.3 Peranan Direksi
Adapun peran dan tanggung jawab Direktur Utama antara lain: a. menetapkan pedoman, sistem dan prosedur audit intern;
b. memastikan terselenggaranya fungsi audit TI oleh sumber daya yang kompeten dan independen;
c. memastikan sumber daya manusia pelaksana audit intern TI memadai dan berkualitas serta memperoleh pendidikan dan pelatihan TI yang diperlukan secara berkelanjutan sehingga dapat mengikuti perkembangan TI;
9.2.4 Peranan Komite Audit
Peran dan tanggung jawab Komite Audit :
1. melakukan pemantauan dan evaluasi atas perencanaan dan pelaksanaan audit TI yang cukup dengan frekuensi dan lingkup audit yang memadai;
2. pemantauan tindak lanjut hasil audit oleh direksi atas hasil temuan SKAI, akuntan publik dan hasil pengawasan Bank Indonesia.
9.3. PEDOMAN AUDIT TI
Bank perlu memiliki pedoman audit TI tertulis dan disetujui oleh direksi. Kompleksitas pedoman audit TI disesuaikan dengan tujuan, kebijakan usaha, ukuran dan kompleksitas usaha Bank.
Pedoman audit TI antara lain berisi kebijakan dan prosedur yang diperlukan oleh fungsi audit intern TI dan kebijakan dan prosedur pelaksanaan fungsi audit intern oleh pihak lain apabila diperlukan oleh Bank. Pedoman tersebut disamping digunakan sebagai sarana untuk mencapai hasil audit yang efektif dan efisien, juga merupakan pedoman dalam menilai kinerja fungsi audit intern TI. Pedoman tersebut harus memuat kebijakan, prosedur dan standar untuk setiap tahap dalam siklus audit.
9.3.1. Kebijakan Umum Audit
Pedoman audit intern TI paling kurang mencakup kebijakan umum mengenai: a. pernyataan visi dan misi fungsi audit intern TI;
b. struktur organisasi dan sistem pelaporan;
c. proses penilaian risiko yang menggambarkan risiko inheren di setiap satuan kerja penyelenggara TI dan satuan kerja pengguna TI yang dikinikan secara berkala dan dijadikan dasar untuk perencanaan audit intern TI;
d. penentuan frekuensi dan jadwal audit yang minimal akan diterapkan Bank untuk audit TI. Audit terhadap penyelenggaraan TI harus direncanakan dan dilaksanakan sekurang-kurangnya 1 (satu) kali dalam setahun terhadap aspek-aspek yang terkait TI sesuai kebutuhan, prioritas dan hasil analisis risiko TI Bank. Sedangkan untuk aplikasi Core Banking, keseluruhan modul hendaknya diperiksa oleh audit intern TI sekurang-kurangnya sekali dalam 3 (tiga) tahun;
e. prosedur audit intern TI untuk setiap aktivitas yang memerlukan audit TI.
9.3.2. Perencanaan Audit
SKAI Bank harus memiliki perencanaan audit tahunan dengan cakupan audit berdasarkan profil risiko pada masing-masing aktivitas terkait TI baik di satuan kerja
TI maupun di satuan kerja pengguna TI. Dalam melakukan penilaian risiko, audit intern TI sekurang-kurangnya melakukan beberapa hal sebagai berikut:
a. mengidentifikasi data, aplikasi dan sistem operasi, teknologi, fasilitas dan personil; b. mengidentifikasi kegiatan dan proses bisnis yang menggunakan TI;
c. mempertimbangkan skala prioritas berdasarkan dampak dan kemungkinan terjadinya risiko atas kegiatan bisnis terkait dengan TI.
Perencanaan Audit harus mendapat persetujuan dari Presiden Direktur atau Direktur Utama.
9.3.3. Pelaksanaan Audit
Dalam rangka melaksanakan rencana tahunan audit, program audit (AWP/audit
working program) wajib disusun untuk setiap penugasan audit, yang
sekurang-kurangnya mencakup:
a. organisasi, kewenangan dan tanggung jawab dari auditor; b. cakupan audit sesuai hasil penilaian risiko;
c. tujuan audit, jadwal, jumlah auditor, anggaran dan pelaporan;
d. outline langkah teknis audit yang diperlukan untuk mencapai tujuan audit.
Dalam pelaksanaan tugasnya, audit intern TI harus memperhatikan aspek-aspek kerahasiaan terhadap data dan informasi yang diperolehnya. SKAI Bank harus memperhatikan fleksibilitas AWP agar dapat disesuaikan dan dilengkapi sesuai dengan risiko yang diidentifikasi.
Temuan audit harus disertai dengan bukti-bukti dan kertas kerja pemeriksaan yang didokumentasikan dengan baik. Untuk itu pedoman audit wajib dilengkapi dengan standar kertas kerja, isi dan format laporan hasil audit, dokumentasi dan distribusi serta pemantauan tindak Ianjutnya.
Auditor intern TI perlu berperan dalam pengembangan aplikasi utama, pengadaan, konversi dan testing namun tidak sebagai penentu dapat tidaknya aplikasi yang dikembangkan atau diadakan diimplementasikan, melainkan berpartisipasi sebagai nara sumber dalam aspek pengendalian khususnya mengenai standar pengamanan yang diperlukan. Peran ini diperlukan agar auditor TI dapat menjaga independensi dan obyektifitas dalam pemeriksaan yang akan dilakukan nanti apabila sistem aplikasi telah diimplementasikan.
9.3.4. Pelaporan
Laporan Hasil Audit Intern TI disusun berdasarkan format laporan yang didukung oleh kertas kerja audit yang ditetapkan dalam pedoman audit intern. Laporan tersebut merupakan sarana bagi manajemen untuk membantu melakukan penilaian terhadap kualitas dan kinerja satuan kerja TI, serta memberikan saran perbaikannya. Laporan hasil audit intern TI harus disampaikan kepada satuan kerja yang diperiksa. Disamping itu laporan tersebut disampaikan secara tepat waktu kepada Direktur Utama dan
Dewan Komisaris/Komite Audit dengan tembusan kepada Direktur Kepatuhan. Laporan Hasil Audit Intern TI disampaikan juga kepada Bank Indonesia sebagai bagian dari Laporan Pelaksanaan dan Pokok-Pokok Hasil Audit Intern sebagaimana diatur dalam ketentuan mengenai penerapan standar pelaksanaan fungsi audit intern.
9.3.5. Tindak Lanjut Audit
Auditee harus memberikan tanggapan terhadap hasil pemeriksaan dan apabila temuan perlu ditindaklanjuti maka Auditee harus memberikan komitmen dan target waktu penyelesaiannya. Selanjutnya, SKAI harus memonitor pelaksanaan komitmen auditee
atas hasil pemeriksaan secara berkala dan melakukan verifikasi terhadap perbaikan yang sudah dilakukan.
Audit intern harus memelihara dokumentasi atas hasil tindak lanjut tersebut. Laporan tindak lanjut hasil pemeriksaan disampaikan kepada Direktur Utama dan Dewan Komisaris/Komite Audit dengan tembusan kepada Direktur Kepatuhan.
9.4. AUDIT INTERN TI YANG DILAKSANAKAN OLEH PIHAK LAIN
Dalam hal terdapat keterbatasan kemampuan fungsi audit intern atas Teknologi Informasi Bank maka pelaksanaan fungsi audit intern dapat dilakukan oleh auditor ekstern seperti Kantor Akuntan Publik, Lembaga Audit TI Independen atau auditor intern kantor induk bagi bank yang dimiliki bank asing. Penggunaan auditor ekstern untuk melaksanakan fungsi audit intern atas Teknologi Informasi Bank tidak mengurangi tanggung jawab pimpinan Satuan Kerja Audit Intern Bank atas temuan audit dan tindak lanjutnya.
Penggunaan pihak lain sebagai auditor intern TI tersebut wajib mempertimbangkan kompleksitas produk dan skala usaha Bank. Pelaksanaan audit intern TI oleh auditor ekstern tetap memperhatikan aspek kompetensi (antara lain pengetahuan dan pengalaman yang memadai) dan independensi serta didasari dengan suatu kontrak kerja. Meskipun pelaksanaan audit intern diserahkan kepada auditor ekstern namun prosedur audit TI yang dilaksanakan tetap harus mengacu kepada kebijakan dan prosedur audit TI yang dimiliki oleh Bank.
9.5. AUDIT INTERN TERHADAP AKTIVITAS YANG DISELENGGARAKAN OLEH PIHAK LAIN
Agar penggunaan penyedia jasa penyelenggara Teknologi Informasi dapat menunjang kemampuan Bank untuk mengelola bisnisnya secara efektif maka aktivitas tersebut juga merupakan ruang lingkup audit intern Bank. Fungsi audit intern Bank wajib memastikan pengendalian yang dioperasikan oleh pihak penyedia jasa dan melakukan pengujian atas efektivitas pengendalian tersebut. Bank harus memastikan bahwa perjanjian dengan pihak penyedia jasa mencakup klausul penyediaan hak akses bagi
auditor intern Bank dan tidak keberatan untuk diaudit oleh auditor intern Bank. Akses yang disediakan tersebut wajib diberikan baik secara logik maupun phisik.
9.6. KAJI ULANG FUNGSI AUDIT INTERN TI
Bank wajib melakukan kaji ulang atas fungsi audit intern atas penggunaan Teknologi Informasi paling kurang setiap 3 (tiga) tahun sekali. Kaji ulang tersebut wajib menggunakan jasa pihak ekstern yang independen dan bekerja secara independen. Yang dimaksud dengan independen adalah pihak diluar Bank yang tidak memiliki hubungan keuangan, kepengurusan, kepemilikan saham atau hubungan lain yang dapat mempengaruhi kemampuannya untuk bertindak independen. Yang dimaksud dengan bekerja secara independen adalah dapat mengungkapkan pandangan serta pemikiran sesuai dengan profesi, dengan tidak memihak terhadap kepentingan pihak lain.
Kaji ulang yang dilakukan sekurang-kurangnya menilai hasil kerja SKAI dan kepatuhan terhadap ketentuan yang terkait dengan Standar Pelaksanaan Fungsi Audit Intern Bank dan manajemen risiko termasuk manajemen risiko dalam penggunaan teknologi informasi serta ketentuan lainnya. Hasil kaji ulang disertai saran perbaikan dilaporkan kepada Bank Indonesia dan merupakan bagian dari laporan kaji ulang fungsi audit intern (SKAI) sebagaimana diatur dalam ketentuan mengenai penerapan standar pelaksanaan fungsi audit intern.
!" #
