AUDIT TEKNOLOGI INFORMASI
Salah satu faktor pendukung utama dalam usaha perbankan adalah penggunaan teknologi informasi. Telah dipahami bersama bahwa penggunaan teknologi informasi banyak memberikan manfaat bagi bank, mulai dari efisiensi hingga advantage dan daya saing. Namun dilain sisi, penggunaan teknologi informasi juga membawa konsekwensi potensi risiko. Tingginya ketergantungan sektor usaha perbankan terhadap penggunaan teknologi informasi berdampak terhadap tingginya potensi risiko. Oleh karena itulah, Bank Indonesia menerbitkan PBI No 9/15/PBI/2007 tanggal 30 Nopember 2007 tentang Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum. Sesuai PBI tersebut (pasal 15-17), SKAI dituntut untuk melaksanakan fungsi audit intern yang efektif dan menyeluruh terhadap penggunaan teknologi informasi oleh Bank. SKAI harus melaksanakan fungsi audit intern ini secara berkala dan melaporkannya kepada Bank Indonesia dalam laporan semesteran. Pelaksanaan audit teknologi informasi ini dapat dilakukan oleh pihak ekstern yang independen dalam hal terdapat keterbatasan kemampuan SKAI dalam audit teknologi informasi.
Di dalam lampiran Surat Edaran Bank Indonesia No.9/30/DPNP tanggal 12 Desember 2007, dijelaskan bahwa Agar audit intern teknologi Informasi (TI) efektif dan dapat menjamin integritas data dan menunjang kelangsungan operasional Bank, SKAI sekurang-kurangnya melakukan beberapa hal berikut:
- menyusun dan mengkinikan pedoman kerja yang sekurang-kurangnya mencakup standar baku prosedur pemeriksaan, kertas kerja dan pelaporan hasil pemeriksaan;
- mengidentifikasi area risiko TI yang akan menjadi fokus audit;
- melakukan evaluasi terhadap fungsi dan kecukupan pengendalian intern dalam sistem informasi Bank;
- memastikan penerapan prinsip kerahasiaan (confidentiality), integritas (integrity) dan ketersediaan (availability) TI;
- mengevaluasi efektifitas perencanaan dan pengawasan penyelenggaraan TI yang dilakukan oleh satuan kerja TI dan satuan kerja pengguna TI;
- mengevaluasi kepatuhan TI Bank terhadap ketentuan intern, ketentuan Bank Indonesia dan ketentuan perundang-undangan yang berlaku serta international best practices (misalnya ISO, IEC, COBIT, IT-IL, Capability Maturity Model);
- menyarankan alternatif perbaikan untuk mengatasi kekurangan aspek-aspek terkait TI khususnya di bidang pengamanan;
- melakukan pemantauan terhadap tindak lanjut atas hasil audit;
- berperan sebagai nara sumber dalam aspek pengendalian dalam hal Bank melakukan pengembangan penyelenggaraan TI seperti pengembangan aplikasi.
AUDIT BANK SWASTA
Sebuah Bank Swasta terkemuka menunjuk tim audit TI Ernst & Young untuk melakukan review atas penerapan sistem Perbankan yang terintegrasi. Pemeriksaan ini terbagi dalam dua fase. Pada fase pertama mencakup kegiatan, sebagai berikut:
1. Manajemen Proyek
Melakukan review atas manajemen proyek untuk memastikan bahwa semua outcome yang diharapkan tertuang dalam rencana proyek. Pada tahapan ini, auditor TI melakukan review atas project charter, sumber daya yang akan digunakan, alokasi penugasan dan analisa tahapan pekerjaan proyek.
2. Desain Proses dan Pengendalian Kontrol Aplikasi
Review mengenai desain pengendalian dalam modul-modul Perbankan tersebut, yaitu pinjaman dan tabungan. Untuk itu dilakukan review atas desain proses dimana auditor mengevaluasi proses, risiko dan pengendalian mulai dari tahapan input, proses maupun output.
3. Desain Infrastruktur
Review ini mencakup analisa efektivitas dan efisiensi desain infrastruktur pendukung (server, workstation, sistem operasi, database dan komunikasi data). Hasil follow up dijadikan dasar oleh manajemen untuk memulai implementasi sistem Perbankan yang terintegrasi tersebut. Berdasarkan nilai tambah yang diberikan melalui rekomendasi pada fase pertama, perusahaan menunjuk kembali auditor untuk melakukan review fase kedua secara paralel pada saat implementasi dilakukan, yaitu review terhadap:
- Migrasi data, pada saat “roll-out” ke cabang-cabang, termasuk kapasitas pemrosesan dan penyimpanannya.
- Aspek lainnya termasuk persiapan help-desk , contingency dan security .
- Kesiapan pemakai dalam menggunakan sistem ini, kualitas pelatihan yang diberikan dan dokumentasi pengguna ( user manual )
- Prosedur-prosedur manajemen perubahan ( change management ) dan testing
Auditor selanjutnya diminta memberikan saran mengenai risiko-risiko yang masih tersisa, sebelum manajemen memutuskan sistem barunya dapat “go-live”
STUDI KASUS
PEMALSUAN SITUS WWW.KLIKBCA.COM
Dunia perbankan melalui Internet (E-Banking) Indonesia, dikejutkan oleh ulah seseorang bernama Steven Haryanto, seorang hacker dan jurnalis pada majalah Master Web. Lelaki asal Bandung ini dengan sengaja membuat situs asli tapi palsu layanan Internet banking Bank Central Asia, (BCA). Steven membeli domain-domain dengan nama mirip www.klikbca.com(situs asli Internet banking BCA), yaitu domain www.klik-bca.com,www.kilkbca.com, www.clikbca.com, www.klickca.com, dan www.klikbac.com. Isi situs-situs inipun nyaris sama, kecuali tidak adanya security untuk bertransaksi dan adanya formulir akses (login form) palsu. Jika nasabah BCA salah mengetik situs BCA asli maka nasabah tersebut masuk perangkap situs yang dibuat oleh Steven sehingga identitas pengguna (user id) dan nomor identitas personal (PIN) dapat di ketahuinya.
Modusnya sangat sederhana, yaitu memfotokopi tampilan website Bank BCA yang seolah-olah milik BCA. Tindakan tersebut dilakukan untuk mengecoh nasabah sehingga pelaku dapat mengambil identitas nasabah.
Dalam Kasus di atas seharusnya setiap insiden security pada system perbankan harus dikomunikasikan ke public dan memberikan penyuluhan kepada nasabah tentang hal tersebut, agar para nasabah tidak terbuai oleh rasa keamanan yang palsu dan sebaiknya harus dilakukan hal-hal sebagai berikut untuk memperbaiki sistem keamanan :
- Perlunya Regulasi (Penyesuaian) Terhadap Audit Sistem Keamanan Teknologi Informasi :
- Kembangkan kebijakan, prosedur, dan rencana untuk menghadapi insiden keamanan dan mengelola kejadian tersebut
- Mengevaluasi ulang lingkungan TI setahun sekali kemudian mengintegrasi, memperkuat dan menguji system secara teratur.
- Seimbangkan keamanan dan produktivitas dalam bidang IT
- Penggunaan teknologi informasi dalam kegiatan perbankan harus mampu meyakinkan publik bahwa sistem informasi yang dipakainya reliable, credible (dapat dipercaya), dan accountable (bertanggung jawab), serta memenuhi rasa keadilan public
- Melakukan modernisasi hukum pidana nasional beserta hukum acaranya.
- Pada tanggal 4 Desember 2001 PBB (Perserikatan Bangsa-Bangsa) mengeluarkan resolusi Nomor 55/63 yang isinya telah disepakati bahwa semua negara harus bekerja sama untuk mengantisipasi dan memerangi kejahatan yang menyalahgunakan teknologi informasi yaitu dengan memiliki undang-undang atau peraturan hukum yang mampu untuk meminimalisasi kejahatan tersebut.
- Meningkatkan sistem pengamanan jaringan komputer nasional sesuai standar internasional.
- Ditingkatkannya pengawasan internal terhadap dunia perbankan
sumber :
https://roufique.wordpress.com/tag/audit-it-bank/
http://auditit50.blogspot.co.id/2012/11/studi-kasus.html?m=1
http://cyberlapse.blogspot.co.id/2012/05/studi-kasus-pemalsuan-situs.html
Komentar
Posting Komentar