Peranan Internal Audit dalam Manajemen Risiko Penggunaan Teknologi Informasi (MRTI)

Penggunaan teknologi informasi terutama di sektor perbankan saat ini telah menjadi suatu kewajiban untuk memenuhi kebutuhan bisnisnya. Bahkan penggunaan teknologi informasi ini menjadi suatu keunggulan daya saing bisnis. Pelayanan nasabah melalui telepon genggam, internet, penggunaan kartu transaksi, ATM dan lain-lain dewasa ini bukanlah hal yang ekslusif lagi. Namun demikian risiko selalu mengiringi. Penggunaan teknologi informasi juga membawa konsekwensi risiko. Banyak kejadian/kasus yang terjadi akibat penggunaan teknologi informasi yang merugikan terutama bagi kepentingan nasabah. Penipuan, pembobolan rekening sampai tindakan hacking menjadi bagian risiko penggunaan teknologi informasi di perbankan. Potensi risiko ini menjadi perhatian Bank Indonesia sebagai regulator perbankan dengan menerbitkan peraturan yang mewajibkan manajemen bank untuk menerapkan manajemen risiko atas penggunaan teknologi informasi. Dalam peraturan tersebut, disebut-sebut pula peranan fungsi internal audit bank.

Sejak dilahirkan oleh Institute of internal audit, definisi fungsi internal audit telah dirancang untuk memenuhi ruang lingkup pengendalian intern, manajemen risiko dan governance. Demikian pula fungsi internal audit di sektor perbankan di Indonesia yang lazim disebut dengan Satuan Kerja Audit Intern Bank (SKAI). Penerapan manajemen risiko di sektor Perbankan di Indonesia terutama dipicu dengan berlakuknya Peraturan Bank Indonesia (PBI) No.5/8/PBI/2003 tanggal 19 Mei 2003 yang kemudian disempurnakan dengan PBI No.11/25/PBI/2009 tanggal 1 Juli 2009 tentang Penerapan Manajemen Risiko bagi Bank Umum. Terkait dengan peranan SKAI dalam manajemen risiko, dalam peraturan tersebut (pasal 15) SKAI wajib melakukan penilaian terhadap sistem pengendalian intern dalam penerapan manajemen risiko, yang meliputi:

  1. Penilaian kesesuaian sistem pengendalian intern dengan jenis dan tingkat risiko yang melekat pada kegiatan usaha bank;
  2. Penilaian penetapan wewenang dan tanggung jawab untuk pemantauan kepatuhan kebijakan, prosedur dan limit;
  3. Penilaian penetapan jalur pelaporan dan pemisahan fungsi yag jelas dari satuan kerja operasional kepada satuan kerja yang melaksanakan fungsi pengendalian;
  4. Penilaian struktur organisasi yang menggambarkan secara jelas kegiatan usaha bank;
  5. Penilaian pelaporan keuangan dan kegiatan operasional yang akurat dan tepat waktu;
  6. Penilaian kecukupan prosedur untuk memastikan kepatuhan bank terhadap ketentuan dan perundang-undangan yang berlaku;
  7. Kaji ulang yang efektif, independen dan obyektif terhadap prosedur penilaian kegiatan operasional bank;
  8. Penilaian pengujian dan kaji ulang yang memadai terhadap sistem informasi manajemen;
  9. Penilaian dokumentasi secara lengkap dan memadai terhadap prosedur operasional, cakupan dan temuan audit, serta tanggapan pengurus bank berdasarkan hasil audit;
  10. Verifikasi dan kajiulang secara berkala dan berkesinambungan terhadap penanganan kelemahan-kelemahan bank yang bersifat material dan tindakan pengurus bank untuk memperbaiki penyimpangan-penyimpangan yang terjadi.

Risk Control System

Ruang lingkup peranan SKAI dalam penerapan manajemen risiko di bank umum seperti disebutkan di atas secara umum mensyaratkan bahwa SKAI wajib melakukan penilaian terhadap sistem pengendalian intern yang terkait dengan penerapan manajemen risiko atau umumnya disebut Risk Control System.

Dalam metodologi risk assessment, umumnya risiko yang diukur adalah residual risk atau risiko yang tersisa. Residual risk ini merupakan hasil dari risiko yang melekat (inherent risk) dari usaha yang dilaksanakan bank setelah diperhitungkan mitigasinya dengan risk control system yang ada/diterapkan. Sebagai contoh risiko operasional karena penyalahgunaan wewenang user dalam penggunaan teknologi informasi untuk mendukung operasional bak. Semakin tinggi limit kewenangan user (jumlah transaksi, menu transaksi, akses user dan lain-lain), maka risiko melekat akibat penyalahgunaan tersebut juga semakin tinggi. Risk control system yang diterapkan oleh bank harus dapat dinilai oleh SKAI sejauh mana dapat memitigasi risiko melekat tersebut, sehingga dengan demikian residual risk yang tersisa merupakan acceptable risk yang dapat diterima oleh manajemen bank sebagai cerminan risk appetite-nya.

Dalam Peraturan Bank Indonesia tersebut di atas (pasal 2) disinilah inti penerapan manajemen risiko bank yang sekurang-kurangnya meliputi:

  1. Pengawasan aktif dewan komisaris dan direksi;
  2. Kecukupan kebijakan, prosedur dan penetapan limit;
  3. Kecukupan proses identifikasi, pengukuran, pemantauan dan pengendalian risiko serta sistem informasi manajemen risiko;
  4. Sistem pengendalia intern yang menyuluruh.

Empat komponen tersebut dibangun sebagai risk control system, yang harus diukur oleh satuan kerja manajemen risiko di bank serta di evaluasi dan dinilai kecukupan, efektivitas serta efisiensinya oleh SKAI.

Risk Based Audit

Lebih lanjut, SKAI didorong untuk mengoptimalkan peranannya didalam penerapan manajemen risiko di bank dengan cara melakukan penajaman dan memfokuskan kegiatannya untuk mendukung mekanisme pemantauan risiko oleh manajemen. Atas dasar itulah, SKAI menerapkan metodologi risk based audit. Namun demikian, apa sebenarnya risk based audit tersebut? Pelaksanaan audit berdasarkan pengukuran risiko, maksudnya?

Beberapa SKAI bank berada di dalam kondisi ‘bermimpi’ bahwa risk based audit merupakan teori audit yang didasarkan pada atau dimulai dengan suatu prosedur penilaian risiko. Namun didalam penerapannya pelaksanaan audit tidak berbeda dari yang ‘dulu-dulu’. Hal ini karena paradigma SKAI di dalam menerapkan risk based audit masih tidak jelas dan rancu dengan metodologi pengukuran risko atau malah ikut-ikutan melakukan pengukuran terhadap risiko. Penerapan suatu Risk based audit memang membutuhkan tahapan awal penilaian terhadap risiko. Penilaian ini umumnya di bank meliputi penilaian terhadap inherent risk dan risk control system yang telah difasilitasi oleh satuan kerja manajemen risiko di bank. SKAI harus melakukan validasi terhadap penilaian inherent risk dan melakukan pengujian-pengujian terhadap risk control system yang ada, untuk melaporkan residual risk yang masih tersisa sebagai bahan manajemen di dalam proses pengambilan keputusan.

Untuk mendukung optimalisasi, efektivitas dan efisiensi sumberdaya audit yang dimiliki, SKAI akan melakukan pengujian-pengujian terhadap risk control system melalui pendekatan-pendekatan (audit approach) yang beragam. Semakin tinggi risiko hasil penilaian inherent risk atau kurang memadainya risk control system yang ada, maka SKAI semakin mengalokasikan sumberdaya auditnya (tenaga audit, waktu audit, prosedur audit dan lainnya).

Sebagai contoh gambaran adalah sebagai berikut. Berdasarkan pengukuran, risiko hukum atas aktivitas perkreditan suatu bank dalam tingkatan menengah cenderung naik. Hal tersebut karena:

  1. Secara inherent, banyaknya permasalahan kelehaman pengikatan pinjaman dan pengikatan agunan/jaminan kredit secara hukum. Kondisi frekuensi (likelyhood) ini oleh SKAI harus ditindaklajuti dengan meningkatkan sampling audit pada saat penyusunan program audit.
  2. Terdapat kelehaman beberapa prosedur operasional sebagai Risk control system, antara lain lemahnya review dan supervisi dari atasan, keterbatasan jumlah staf untuk prosedur tambahan, dan prosedur operasional yang kurang jelas/detail. Kondisi ini menuntut SKAI untuk melakukan pengujian-pengujian melalui suatu pendekatan audit dengan prosedur audit yang lebih komprehensif. Mulai dari melakukan review terhadap kecukupan kebijakan/sistem dan prosedur, pengujian pemahaman pelaksana, tingginya tingkat human error, konfirmasi kepada pihak debitur, pemeriksaan secara on the spot terhadap agunan, dan seterusnya yang menunjukkan kompleksnya prosedur audit untuk menguji kelemahan risk control system yang mengakibatkan tingginya residual risk di atas risk appetite manajemen bank.

Audit Teknologi Informasi

Salah satu faktor pendukung utama dalam usaha perbankan adalah penggunaan teknologi informasi. Telah dipahami bersama bahwa penggunaan teknologi informasi banyak memberikan manfaat bagi bank, mulai dari efisiensi hingga advantage dan daya saing. Namun dilain sisi, penggunaan teknologi informasi juga membawa konsekwensi potensi risiko. Tingginya ketergantungan sektor usaha perbankan terhadap penggunaan teknologi informasi berdampak terhadap tingginya potensi risiko. Oleh karena itulah, Bank Indonesia menerbitkan PBI No 9/15/PBI/2007 tanggal 30 Nopember 2007 tentang Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum. Sesuai PBI tersebut (pasal 15-17), SKAI dituntut untuk melaksanakan fungsi audit intern yang efektif dan menyeluruh terhadap penggunaan teknologi informasi oleh Bank. SKAI harus melaksanakan fungsi audit intern ini secara berkala dan melaporkannya kepada Bank Indonesia dalam laporan semesteran. Pelaksanaan audit teknologi informasi ini dapat dilakukan oleh pihak ekstern yang independen dalam hal terdapat keterbatasan kemampuan SKAI dalam audit teknologi informasi.

Di dalam lampiran Surat Edaran Bank Indonesia No.9/30/DPNP tanggal 12 Desember 2007, dijelaskan bahwa Agar audit intern teknologi Informasi (TI) efektif dan dapat menjamin integritas data dan menunjang kelangsungan operasional Bank, SKAI sekurang-kurangnya melakukan beberapa hal berikut:

  1. menyusun dan mengkinikan pedoman kerja yang sekurang-kurangnya mencakup standar baku prosedur pemeriksaan, kertas kerja dan pelaporan hasil pemeriksaan;
  2. mengidentifikasi area risiko TI yang akan menjadi fokus audit;
  3. melakukan evaluasi terhadap fungsi dan kecukupan pengendalian intern dalam sistem informasi Bank;
  4. memastikan penerapan prinsip kerahasiaan (confidentiality), integritas (integrity) dan ketersediaan (availability) TI;
  5. mengevaluasi efektifitas perencanaan dan pengawasan penyelenggaraan TI yang dilakukan oleh satuan kerja TI dan satuan kerja pengguna TI;
  6. mengevaluasi kepatuhan TI Bank terhadap ketentuan intern, ketentuan Bank Indonesia dan ketentuan perundang-undangan yang berlaku serta international best practices (misalnya ISO, IEC, COBIT, IT-IL, Capability Maturity Model);
  7. menyarankan alternatif perbaikan untuk mengatasi kekurangan aspek-aspek terkait TI khususnya di bidang pengamanan;
  8. melakukan pemantauan terhadap tindak lanjut atas hasil audit;
  9. berperan sebagai nara sumber dalam aspek pengendalian dalam hal Bank melakukan pengembangan penyelenggaraan TI seperti pengembangan aplikasi.

 

Audit Teknologi Informasi berbasis risiko

Surat Edaran Bank Indonesia tersebut di atas mewajibkan SKAI Bank memiliki perencanaan audit tahunan dengan cakupan audit berdasarkan profil risiko pada masing-masing aktivitas terkait TI baik di satuan kerja TI maupun di satuan kerja pengguna TI. Dalam melakukan penilaian risiko, audit intern TI sekurang-kurangnya melakukan beberapa hal sebagai berikut:

  1. mengidentifikasi data, aplikasi dan sistem operasi, teknologi, fasilitas dan personil;
  2. mengidentifikasi kegiatan dan proses bisnis yang menggunakan TI;
  3. mempertimbangkan skala prioritas berdasarkan dampak dan kemungkinan terjadinya risiko atas kegiatan bisnis terkait dengan TI.

Dengan kata lain, sejalan dengan penerapan ketentuan mengenai manajemen risiko maka SKAI harus melaksanakan fungsinya melalui pendekatan audit berbasis risiko termasuk audit TI. Permasalahan utama yang saat ini banyak dihadapi oleh fungsi SKAI bank adalah bahwa implementasi risk based audit sampai saat ini belum berjalan optimal, apalagi harus membangun audit TI berbasis risiko. Dalam kondisi seperti ini, beberapa hal yang dapat dipertimbangkan oleh SKAI adalah: Mengembangkan metodologi risk based audit terhadap seluruh proses bisnis bank termasuk penggunaan teknologi informasi. Apabila SKAI memiliki keterbatasan sumber daya audit TI maka satu hal yang dapat dilakukan oleh SKAI adalah melakukan benchmarking antara lain dengan menggunakan pihak ekstern yang independen untuk melaksanakan audit TI. Dengan demikian, SKAI memiliki gambaran awal sebagai starting point untuk mengembangkan audit TI berbasis risiko.

Tinggalkan Balasan

Isikan data di bawah atau klik salah satu ikon untuk log in:

Logo WordPress.com

You are commenting using your WordPress.com account. Logout / Ubah )

Gambar Twitter

You are commenting using your Twitter account. Logout / Ubah )

Foto Facebook

You are commenting using your Facebook account. Logout / Ubah )

Foto Google+

You are commenting using your Google+ account. Logout / Ubah )

Connecting to %s