Vclass Perkuliahan Minggu 11

(12 Mei 2020)

Keamanan dan
Pemeriksaan TSI Perbankan
Jurusan Sistem Informasi
Fakultas Ilmu Komputer dan Teknologi Informasi
Universitas Gunadarma
Keamanan (Security) Sistem Aplikasi
Perbankan
 Keamanan Komputer (Computer Security)  Prosedure
menejerial dan teknologi yang diterapkan pada sistem
komputer untuk menjamin ketersediaan, integritas dan
kerahasiaan informasi yang dikelola oleh sistem komputer
 Keamanan Informasi (Information Security)  Hasil dari
suatu sistem prosedur dan atau kebijakan untuk
mengidentifikasi, mengawasi dan memproteksi dari akses
yang tidak berwenang, suatu informasi yang proteksinya
dibawah kewenangan eksekutif atau undang-undang
 Threats
Risiko (Risk) Kejadian atau aktivitas dari luar
sistem yang memanfaatkan
kelemahan sistem 
Konsep Risiko
menyebabkan dampak negatif

Vulnerabilities
Kelemahan sistem yang bias
dieksplorasi oleh ancaman

Impacts
Konsekuensi jangka pendek atau
jangka panjang dari ancaman
melalui kelemahan sistem
Ancaman Sistem
Kejadian atau aktivitas, umumnya dari eksternal ke dalam sistem,
yang mungkin mempengaruhi titik lemah sistem sehingga
menyebabkan dampak
Hacking and Sabotase
Computer Virus
Personnel
Data or Problem
Programing
SISTEM Hardware
Operating INFORMASI Damage
Error
Computer
Fraud
Misuse of
Information Computer
Theft
Kelemahan Sistem

Kelemahan keamanan pada target evaluasi 

kegagalan analisis, rancangan, implementasi atau
operasi
Kelemahan pada komponen atau sistem informasi 
procedure pengamanan, rancangan perangkat keras
atau pengendali internal
Kelemahan di dalam procedure keamanan sistem,
rancangan sistem, implementasi dan pengendalian
internal
 Kelemahan Sistem Bank di Indonesia
 Bank tidak mempunyai mesin back up
 Source program terpasang pada production machine
 Tidak adanya pemisahan fungsi operasional dengan fungsi pengembangan aplikasi
 Ketergantungan yang tinggi terhadap vendor atau staff IT dalam pengoperasian TSI
 Pengendalian lingkungan TSI belum memadai
 Bank mempunyai beberapa jenis aplikasi paket untuk jasa atau produk yang sama
 Perubahan data atau informasi dilakukan bukan melalui sistem aplikasi tetapi
melalui bahasa pemrograman atau sistem databasenya
 Bank belum menerapkan program edit check untuk memproteksi kesalahan input
data
 Pengendalian pengguna computer (user control) relative longgar
 Tidak terintegrasinta antara front end dengan back end
Dampak Risiko Sistem

Konsekuensi negatif organisasi baik jangka pendek

maupun jangka panjang yang disebabkan oleh ancaman
yang bisa telah mengeksploitasi kelemahan sistem
1. Financial Fraud
2. Telecomm Fraud
3. Information Theft
4. Unauthorized Access
 Pengendalian (Control)
 Pengendali Aplikasi (Application Control)
1. File Control
2. Transaction Control
3. User Control
4. Programmed Procedure
 IT Control  Menjamin procedure program dalam sistem computer
dirancang, diimplementasikan, dipelihara dan dioperasikan dengan tepat,
serta perubahan yang diperkenankan saja yang dapat dibuat untuk data
atau program komputer
 Implikasi : Penelusuran Transaksi
Jejak Audit :
1. Catatan kronologi dari penggunaan sumber daya sistem
2. Mencakup user login, akses file, berbagai aktifitas lain dan pelanggaran
Pengendalian (Control)

 Tujuan/Manfaat Control :
1. Pertanggungjawaban individu
2. Rekonstruksi kejadian
3. Deteksi instruksi
4. Analisis masalah
Internal Control

Internal Control  Accounting Control dan

Administrative Control
Accounting Control  Rencana organisasi dan prosedur
menyangkut langsung dengan pengamanan harta milik
dan administrasi harta kekayaan yang ada
Administrative Control  Rencana organisasi dan
semua cara dan procedure menyangkut efisiensi usaha
dan kebijakan pemimpin perusahaan dan tidak
berhubungan langsung dengan catatan keuangan
 Pelaksanaan Manajemen Risiko

Pengendalian risiko secara first line of defense yang dilakukan

oleh unit kerja yang melaksanakan proses bisnis
Pengendalian risiko secara second line of defense dilakukan oleh
unit kerja yang memiliki fungsi manajemen risiko dan
independen dari unit kerja yang melaksanakan proses bisnis
Pengendalian risiko secara third line of defense dilakukan oleh
unit kerja yang melaksanakan fungsi audit internal guna
memastikan kegiatan pengendalian risiko dilaksanakan secara
efektif
Internal Control

Adanya pengawasan oleh manajemen dan

pengendalian
Identifikasi dan penilaian risiko
Kegiatan pemantauan dan koreksi penyimpangan
Sistem akurasi, informasi dan komunikasi
Pengendalian dan pemisahan fungsi risiko
Cara Pengaplikasian Internal Control
Perbankan
Division of Duties  Kegiatan pemisahan fungsi
administrative, operasional dan penyimpanan
Dual Control  Kegiatan pengecekan kembali suatu
pekerjaan yang telah dilakukan oleh petugas
sebelumnya
Joint Custody/Dual Custody  Dua pemegang kunci
pada safe deposit box atau pada strong room yang
berbeda
Cara Pengaplikasian Internal Control
Perbankan
Mandatory Vacation  Mandat atau perintah untuk
libur pada karyawan
Number Control  Penomoran unik untuk setiap
transaksi maupun setiap karyawan
Outside Activities of Bank Personel  Kegiatan personel
diluar pekerjaannya
Rotation of Duty Assignment  Rolling personel dalam
suatu perusahaan
IT Audit in Banking

Audit IT  Proses pengumpulan dan evaluasi bukti-

bukti untuk menentukan apakah sistem komputer
yang digunakan telah dapat melindungi asset milik
organisasi maupun menjaga integritas data, dapat
membantu pencapaian tujuan organisasi secara efektif
serta menggunakan sumber daya yang dimiliki secara
efisien.
Audit IT  Pengendali Aplikasi (Application Control)
dan Pengendalian Umum (General Control)
IT Audit in Banking

Bank Indonesia (BI)  banyaknya kasus fraud atau

pembobolan bank disebabkan karena lemahnya
pengawasan internal
Bank sentral meminta bank untuk introspeksi serta
membenahi pengendalian internal dengan
mengoptimalkan manajemen risiko
Ruang Lingkup Fungsi Audit Internal

Pelaksanaan kegiatan audit (assurance) dan konsultansi

yang mencakup analisis kecukupan rancang bangun
dan efektivitas pelaksanaan proses Governance
Proses manajemen risiko (risk management)
Proses pengendalian intern (internal control) Bank
Indonesia.
Alasan Perlunya Audit IT

 Kerugian akibat kehilangan data

 Kerugian akibat kesalahan pemrosesan computer
 Pengambilankeputusan yang salah akibat informasi yang salah
 Kerugian karena penyalahgunaan computer (Computer Abused)
Tujuan dan Lingkup Audit IT

Conformance (Kesesuaian)  Confidentiality

(Kerahasiaan), Integrity (Integritas), Availability
(Ketersediaan) dan Compliance (Kepatuhan)
Performance (Kinerja)  Effectiveness (Efektifitas),
Efficiency (Efisiensi) dan Reliability (Kehandalan)
Prinsip Audit IT

Kerahasiaan (Confidentiality)
Integritas (Integrity)
Ketersediaan (Availability)
Auditing Process

Perencanaan audit pendahuluan

Review pendahuluan dan assessment terhadap struktur
pengendalian internal
Pengujian pengendalian dalam audit
Pengujian substantif
Pelaporan audit
Teknik dan Pendekatan Pengauditan
Berbasis Komputer
Teknik Computer Assisted Audit Techniques (CAAT) :
1. Pengauditan sekitar komputer (Auditing Arround the
Computer)
2. Pengauditan melalui komputer (Auditing Through the
Computer)
3. Pengauditan dengan menggunakan komputer
(Auditing with the Computer)
Generalized Audit Software (GAS)

GAS  Software audit yang digunakan untuk

pengujian substantive dengan pendekatan auditing
computer
GAS  Software audit yang terdiri dari satu atau lebih
program yang applicable pada bernagai situasi audit
pada suatu perusahaan