Risk Based Audit Sistem dan Teknologi Informasi sesuai best practice (CISA, COSO, COBIT, GTAG)

Deskripsi

Peran TI di institusi keuangan sudah terbukti dapat meningkatkan kemampuan bank dalam memberikan layanan kepada nasabah. Pemrosesan data secara online dan real time telah mempercepat proses transaksi nasabah. Penggunaan alat pembayaran menggunakan kartu, misalnya kartu ATM, telah memudahkan nasabah bank melakukan transaksi sendiri dan cepat. Kini, para nasabah tidak perlu lagi pergi ke bank untuk melakukan transfer uang tunai. Cukup dengan menggunakan ATM, bank yang sama ataupun ke rekening pada bank yang lain. Selain itu, dalam berbelanja, layanan auto debet melalui kartu ATM telah memudahkan nasabah saat berbelanja. Dengan layanan ini, nasabah tidak perlu lagi membawa sejumlah uang tunai. Dengan menggunakan kartu (debit) ATM, nasabah dapat membayar secara tunai tanpa menggunakan uang secara fisik. Penggunaan kartu ATM hanyalah salah satu contoh pemanfaatan TI pada layanan perbankan.

Selain manfaat yang diperoleh, penggunaan TI juga membawa risiko pada bank. Kegagalan pemrosesan transaksi, permasalahan jaringan komunikasi, dan ketidakakuratan data adalah beberapa contoh permasalahan dalam penggunaan TI disamping permasalahan-permasalahan lainnya yang memungkinkan terjadinya risiko-risiko perbankan. Risiko-risiko yang potensial terjadi pada penyelenggaraan TI oleh bank antara lain risiko operasional, reputasi, risiko hukum, dan risiko-risiko perbankan lainnya.

Peraturan Bank Indonesia (PBI) nomor 9/15/PBI/2007 dan Peraturan Otoritas Jasa Keuangan nomor 38/POJK.03/2016 merupakan peraturan tentang penerapan manajemen risiko dalam penggunaan Teknologi Informasi (TI) oleh Bank Umum. Salah satu hal penting yang dicantumkan di dalam PBI dan POJK tersebut adalah kewajiban bank untuk melaksanakan pengendalian dan audit intern atas penyelenggaraan TI. Dalam PBI dan POJK tersebut dinyatakan bahwa bank wajib melaksanakan pengendalian intern secara efektif terhadap semua aspek penggunaan TI.

Mengacu pada PBI dan POJK tersebut, ruang lingkup audit penggunaan TI oleh bank dapat didefinisikan dan minimal meliputi:

  • Manajemen TI.
  • Pengembangan dan pengadaan Sistem/Teknologi Informasi.
  • Operasional TI.
  • Jaringan komunikasi.
  • Pengamanan informasi.
  • Business continuity plan.
  • End user computing
  • Electronic banking.
  • Penggunaan layanan oleh penyedia jasa TI

Bentuk pengendalian dan audit intern atas penyelenggaraan SI/TI pada ruang lingkup tersebut lebih dikenal di institusi keuangan sebagai IT General Control dan IT Application Control. Audit sistem/teknologi informasi (SI/TI) adalah bentuk pengawasan dan pengendalian dari IT General Control dan IT Application Control terhadap ruang lingkup penggunaan SI/TI yang diatur oleh PBI tersebut. Audit teknologi informasi ini dapat berjalan bersama-sama dengan audit finansial dan audit internal, atau dengan kegiatan pengawasan dan evaluasi lain yang sejenis.

Dalam pelaksanaanya, auditor SI/TI harus mengumpulkan bukti-bukti yang memadai melalui berbagai teknik termasuk survey, wawancara, observasi dan review dokumentasi. Satu hal yang unik, bukti-bukti audit yang diambil oleh auditor biasanya mencakup tidak hanya dokumen/hardcopy namun juga bukti elektronis, misalnya data transaksi harian/bulanan tabungan dan pinjaman, pembelian pulsa, barang, tiket transportasi dan transfer uang di ATM atau internet banking, dan lain-lain.

Dikarenakan keterbatasan dari waktu dan tenaga auditor TI dalam melakukan kegiatan pengawasan dan pengendalian setiap harinya Auditor SI/TI dituntut tidak hanya harus mampu mengidentifikasi risiko yang sering muncul dan berdampak besar bagi bank namun juga harus memberikan solusi hal apa saja yang dapat mengontrol dan memitigasi risiko tersebut. Audit TI berbasis risiko membantu senior/top manajemen bank untuk menentukan area mana yang memiliki risiko tinggi berdasarkan tingkat persepsi risiko dari unit/fungsi risk manajemen bank. Dari penentuan persepsi identifikasi risiko yang tinggi kemudian dibuat kendali/control untuk memitigasinya. Auditor TI dapat langsung menentukan area mana yang lebih penting/kritikal diaudit berdasarkan tingkat persepsi risiko tersebut. Sehingga Audit TI lebih fokus pada risiko yang tinggi. Dari area yang risiko yang tinggi ini kemudian dilakukan Audit TI.

Pendekatan audit TI berbasis risiko ini lebih efektif dan efisien dan tidak membuang waktu dan tenaga Auditor TI karena pelaksanaan audit berdasarkan area risiko yang tinggi (auditable high risk area). Kegiatan audit TI pada low risk area berdampak auditor tidak akan banyak memberikan nilai tambah bagi bank.

“Audit the things that really matter to your organization”

Tujuan

Setelah mengikuti ini diharapkan peserta mampu :

  • Memahami konsep dan praktek audit TI secara umum dan berbasis risiko pada institusi keuangan.
  • Mengetahui perbedaan dan pentingnya audit pengendalian umum (IT General Control) dan pengendalian aplikasi (IT Application Control) di institusi keuangan.
  • Menjadi Champion dan change agent serta menguasai kompetensi bagaimana mengimplementasikan pengendalian internal (IT General Control dan IT Application Control) untuk mengevaluasi integritas, keamanan dan ketersediaan sistem TI di institusi keuangan.
  • Memastikan pengendalian (IT General Control dan IT Application Control) didesain, diimplementasikan dan diawasi untuk menciptakan sistem yang aman dengan integritas dan ketersediaan yang tinggi di institusi keuangan.

Target Peserta

Direktur IT, Kepala Divisi TI, Kepala Divisi Audit TI, Internal Auditor, External Auditor, IT Auditor/ Assessor, IT Quality Assurance, IT Professional, Manajer dan staf IT dan manajer atau staf bagian lain yang akan dilibatkan dalam kegiatan audit IT dari aspek bisnis dan operasional di institusi keuangan.

Syarat

Tidak ada persyaratan khusus untuk peserta. Namun, disarankan agar peserta memiliki latar belakang pendidikan di IS / IT Management atau memiliki pengalaman audit yang memadai.

  • Konsep dan metodologi audit TI secara umum dan berbasis risiko di institusi keuangan..
  • Konsep dan metodologi audit TI berbasis risiko.
  • Mengenal dan mengidentifikasi risiko-risiko yang terkait aspek SI/TI dan bagaimana memitigasinya di institusi keuangan.
  • Jenis kegiatan Audit TI berbasis risiko beserta tahapan/prosesnya di institusi keuangan.
  • Mitigasi/kendali risiko pada sistem/teknologi informasi yaitu dengan penerapan pengendalian umum SI/TI (IT General Control) dan pengendalian aplikasi (IT Application Control) di institusi keuangan.
  • Komponen penyusun pada IT General Control dan Application Control (Pengendalian fisik dan lojik).
  • Klasifikasi IT Application Control (Input, process and output).
  • Risiko jika tidak diterapkan IT General Control dan IT Application control pada institusi keuangan.
  • Pembuatan program audit dan pengujian pada pengendalian umum SI/TI (IT General Control) dan pengendalian aplikasi (IT Application Control) yang memiliki risiko tinggi agar diterapkan secara efektif.
  • Kegiatan Audit TI berbasis risiko dengan studi kasus (contoh di industry perbankan, asuransi, yaitu Audit TI e-banking berbasis risiko di institusi keuangan)

Waktu Pelaksanaan 3 Hari

Complimentary Download

Terima kasih atas ketertarikan Anda pada Edutech Training and Konsultan. Untuk mendownload brosur ini, lengkapi formulir pendaftaran di sebelah kanan.

Jika Anda mengalami masalah dalam menyelesaikan formulir, kirimkan ke email ke : info@edutechsolution.co.id dan kami dapat mengirimkan file brosurnya