ITGC DALAM AUDIT SEBUAH BANK: PROSEDUR DAN MANFAAT

Dalam era digital yang semakin berkembang, Teknologi Informasi (TI) telah menjadi tulang punggung operasional banyak industri, termasuk perbankan. Bank-bank modern bergantung pada sistem TI yang kuat dan handal untuk mendukung operasi mereka, mulai dari transaksi dasar hingga analisis data yang rumit. Oleh karena itu, penting bagi bank untuk memiliki pengendalian yang kuat atas infrastruktur TI mereka dan Information Technology General Controls (ITGC) memainkan peran penting. ITGC hadir sebagai pilar kekuatan yang membantu bank menavigasi lautan digital dengan kepercayaan dan keandalan.

ITGC merujuk pada serangkaian prosedur dan kebijakan yang dirancang untuk memastikan integritas, keandalan, dan keamanan sistem dan data TI. ITGC mencakup berbagai aspek, termasuk pengendalian akses, pengendalian perubahan, pengendalian operasional dan manajemen pengembangan sistem.

Mengapa ITGC Penting untuk Perbankan?

Perbankan adalah industri yang sangat diatur oleh undang-undang dan regulasi yang ketat, yang menuntut standar keamanan dan akurasi yang tinggi. Pada saat yang sama, perbankan juga menjadi target serangan siber, membuat keamanan TI menjadi prioritas. Dengan semakin banyaknya transaksi yang dilakukan secara elektronik, ancaman keamanan siber menjadi semakin nyata. Jika data pelanggan atau informasi keuangan bocor atau dicuri, maka hal tersebut bisa merusak reputasi bank dan menimbulkan kerugian finansial yang signifikan.

Selain itu, perbankan memerlukan efisiensi operasional untuk menjalankan transaksi dengan cepat dan akurat. Tanpa ITGC yang efektif, bank mungkin menghadapi hambatan dalam proses transaksi, kesalahan dalam laporan, atau bahkan kerugian finansial.

ITGC mencakup sejumlah komponen kunci yang harus dipahami oleh perbankan untuk menjalankan operasi yang aman dan efisien:

Pengendalian Akses: Memastikan bahwa hanya individu yang berwenang yang dapat mengakses sistem dan data. Ini mencakup otentikasi, otorisasi dan audit trail.
Pengendalian Perubahan: Mengawasi perubahan pada sistem dan aplikasi untuk memastikan bahwa semua modifikasi telah diuji dan disetujui sebelum diterapkan.
Pengendalian Operasional: Memastikan bahwa operasi sehari-hari berjalan dengan lancar, termasuk backup data, pemulihan bencana dan pemeliharaan rutin.
Manajemen Pengembangan Sistem: Mengawasi pengembangan, pengujian dan penerapan sistem baru atau pembaruan sistem yang ada.

Pelaksanaan ITGC di Perbankan

Proses pelaksanaan ITGC dalam industri perbankan melibatkan serangkaian langkah yang cermat dan terstruktur:

Pengendalian Akses: Bank harus memastikan bahwa informasi sensitif seperti data pelanggan dan transaksi keuangan hanya dapat diakses oleh pihak yang berwenang. Ini dilakukan dengan mengimplementasikan otentikasi multi-faktor, pengendalian hak akses, sistem deteksi intrusi, serta mekanisme logging dan pemantauan. Keberadaan log akses dan pemantauan sistem ini juga dapat digunakan untuk mendeteksi aktivitas yang mencurigakan.
Pengendalian Perubahan: Setiap perubahan dalam sistem TI harus direkam, diuji, dan disetujui sebelum implementasi. Hal ini untuk menghindari kesalahan yang dapat mengganggu operasi atau menciptakan celah keamanan.
Pengendalian Operasional: Meliputi kebijakan backup dan restore, pemeliharaan perangkat keras, pemantauan kinerja sistem, serta prosedur pemulihan bencana untuk memastikan kelangsungan operasional.
Manajemen Pengembangan Sistem: Mengawasi proses dari pengembangan awal hingga peluncuran (system launch), memastikan semua kode dan infrastruktur dianalisis secara menyeluruh terhadap potensi risiko. Proses seperti analisis kebutuhan, desain dan pengujian harus dikelola dengan ketat untuk memastikan kualitas dan keamanan.

Temuan Umum dalam Audit ITGC di Perbankan dan Tindaklanjutnya

Beberapa temuan umum yang sering muncul dalam audit ITGC di antaranya:

Kelemahan dalam Pengendalian Akses: Banyak bank memiliki kelemahan dalam mengendalikan akses ke sistem dan data mereka. Akses yang diberikan tidak sesuai dengan peran individu sehingga membuka potensi risiko keamanan. Untuk memitigasinya, bank perlu melakukan penyempurnaan kebijakan hak akses dan penerapannya, serta pelatihan karyawan mengenai pentingnya keamanan informasi.
Kurangnya Pengendalian Atas Perubahan: Beberapa bank belum sepenuhnya mengadopsi prinsip pengendalian perubahan, sehingga terjadi kesalahan atau gangguan. Perubahan pada sistem tidak selalu diikuti oleh pengujian yang memadai, meningkatkan risiko kerentanan. Untuk mengatasinya, bank perlu menerapkan sistem pelacakan perubahan dan mengadakan sesi review sebelum setiap implementasi. Semua perubahan harus didokumentasikan, diuji di lingkungan yang terkontrol dan diterapkan setelah mendapatkan persetujuan.
Pemeliharaan yang Tidak Memadai atau Pengabaian Pemeliharaan Rutin: Infrastruktur TI yang ketinggalan zaman atau tidak terawat dapat menjadi rentan terhadap serangan. Selain itu, pemeliharaan berkala juga sering diabaikan, mengarah pada potensi kegagalan operasional. Karena itu, bank perlu menjadwalkan pemeliharaan rutin dan melakukan peningkatan sistem secara berkala.
Kegagalan Dalam Backup dan Pemulihan: Kadang-kadang, bank tidak memiliki prosedur pemulihan bencana yang memadai. Di sisi lain, meskipun banyak bank memiliki rencana ini, beberapa mungkin belum mengujinya atau memperbarui rencananya dalam waktu yang lama. Untuk memitigasinya, bank perlu menyusun rencana pemulihan bencana yang komprehensif dan secara rutin menguji rencana pemulihan bencana tersebut untuk memastikan efektivitasnya.

Temuan ITGC dalam sektor perbankan di atas dapat berkaitan dengan fungsi transaksi inti seperti perhitungan bunga, proses pinjaman, pencatatan transaksi, dan lainnya. Beberapa temuan lanjutan yang bisa disebabkan oleh ITGC yang tidak memadai di antaranya:

Ketidakakuratan dalam Perhitungan Bunga: Sistem perbankan mungkin memiliki kesalahan dalam logika atau konfigurasi yang mengakibatkan perhitungan bunga yang tidak akurat untuk rekening nasabah.
Kesalahan dalam Proses Pinjaman: Sistem mungkin tidak memproses aplikasi pinjaman dengan benar atau ada kelemahan dalam otomatisasi persetujuan pinjaman yang mengakibatkan pemberian kredit yang tidak memenuhi kriteria.
Pengesahan Transaksi yang Tidak Memadai: Transaksi mungkin tidak memerlukan otorisasi yang memadai atau verifikasi sebelum dieksekusi, meningkatkan risiko kesalahan atau penyalahgunaan.
Kegagalan dalam Memenuhi Kebijakan Privasi Data: Sistem mungkin tidak mematuhi kebijakan privasi data, yang dapat berakibat negatif pada reputasi bank ataupun denda yang signifikan.
Kesalahan dalam Transaksi: Terjadi kesalahan dalam pemrosesan transaksi, seperti transfer dana ganda, atau transaksi yang tidak sesuai dengan instruksi nasabah.

Dalam semua kasus ini, keterlibatan aktif dari manajemen sangat penting. Manajemen harus mendukung tim TI, memahami risiko yang terkait, dan mengalokasikan sumber daya yang diperlukan untuk memitigasi risiko tersebut, serta mengkomunikasikan pentingnya kepatuhan dan pengendalian kepada seluruh organisasi. Kesadaran dan komitmen manajemen akan membantu memastikan bahwa mitigasi risiko dilaksanakan dengan sukses dan berkelanjutan.

Dengan mengidentifikasi dan memitigasi temuan-temuan ITGC, serta dengan dukungan aktif dari manajemen, bank dapat memperkuat infrastruktur TI mereka, meningkatkan kepercayaan pelanggan, dan memastikan operasi yang efisien dan aman.

ITGC merupakan elemen penting dalam menjaga keamanan, integritas, dan efisiensi operasional dalam industri perbankan. Implementasi dan pemeliharaan ITGC yang efektif, bank dapat mengurangi risiko keamanan, meningkatkan kepercayaan pelanggan, dan memastikan kelancaran operasi. Ealuasi ITGC secara berkala memampukan sebuah bank mengidentifikasi area yang memerlukan perbaikan. Hasil audit harus ditindaklanjuti oleh manajemen dengan perbaikan dan inisiatif yang direkomendasikan.

Selain itu, regulasi perbankan oleh Otoritas Jasa Keuangan (OJK) melalui POJK nomor 11/POJK.03/2022 tentang Penyelenggaraan Teknologi Informasi oleh Bank Umum, khususnya pasal 55 ayat (2), juga mewajibkan bank untuk melakukan kaji ulang terhadap fungsi audit intern atas penyelenggaraan TI paling sedikit satu kali dalam tiga tahun dengan menggunakan jasa pihak ekstern yang independen. SW Indonesia memiliki pengalaman bertahun-tahun dalam memberi layanan professional kepada perusahaan-perusahaan perbankan di Indonesia. SW Indonesia terus mengembangkan kompetensi dan kapasitas untuk mendukung klien di industri perbankan, termasuk pemberian layanan audit ITGC, kaji ulang fungsi audit intern atas penyelenggaraan TI, kemanan siber dan layanan lain.

Author

SW Indonesia
As the webmaster and author for SW Indonesia, I am dedicated to providing informative and insightful content related to accounting, taxation, and business practices in Indonesia. With a strong background in web management and a deep understanding of the accounting industry, my aim is to deliver valuable knowledge and resources to our audience. From articles on VAT regulations to tips for e-commerce taxation, I strive to help businesses navigate the complexities of the Indonesian tax system. Trust SW Indonesia as your go-to source for reliable and up-to-date information, empowering you to make informed decisions and drive success in your business ventures.
View all posts

Jakarta	UOB Plaza 34th Floor, Jl. M.H. Thamrin Kav. 8-10, Jakarta 10230
Tangerang	Unity Building 3rd Floor, Jl. Boulevard Gading Serpong M5/21. Tangerang 15810
Surabaya	Spazio Building 5th Floor, Jl. Mayjen Yono Suwoyo Kav.3, Surabaya 60226

Author

Related Article

Expansion of the Scope of Investment Facilities for IKN Business Actors on GR 29 of 2024

Personal Data Protection: Information System Approach

Regulation of the Ministry of Director General of Taxes Number PER – 2/PJ/2024