Audit atas Penyelenggaraan Electronic Banking (1)

OJK bulan lalu meminta seluruh bank untuk lebih memperhatikan keamanan TI, khususnya internet banking. OJK mendorong (atau mewajibkan?) bank-bank untuk melakukan audit atas sistem keamanan TI. Hal ini sepertinya dipicu oleh laporan kejadian di BCA (laporan awal yang menyerang 1000 nasabah (06/03/2015) dan kemudian diralat ternyata hanya mengenai 43 nasabah (06/03/2015)) dan Bank Mandiri (malware pencuri uang (06/03/2015)).

Prinsip-prinsip untuk manajemen risiko penyelengaraan electronic banking telah ditetapkan sejak lama oleh Basel Committee on Bank Supervision pada tahun 20o3, sebagai berikut:

  1. Board and management oversight
    • Effective management oversight of e-banking activities
    • Establishment of a comprehensive security controls process
    • Comprehensive due diligence and management oversight process for outsourcing relationships and other third-party dependencies.
  2.  Security controls
    • Authentication of e-banking customers
    • Non-repudiation and accountability for e-banking transactions
    • Appropriate measures to ensure segregation of duties
    • Proper authorization controls within e-banking systems, databases and applications
    • Data integrity of e-bangking transactions, records and information
    • Establishment of clear audit trail for e-banking transactions
    • Confidentiality of key bank information
  3. Legal and reputational risk management
    • Appropriateness disclosure for e-banking services
    • Privacy of customer information
    • Capacity, business continuity and contingency planning to ensure availability of e-banking systems and services
    • Incident response planning

BI juga merilis pedoman untuk ini, yaitu di Lampiran Surat Edaran Bank Indonesia Nomor: 9/30/DPNP Tanggal 12 Desember 2007 khususnya di Bab VIII tentang Electronic Banking. Dokumen tentang ini dapat diperoleh di sini.

Kejadian di BCA dan Mandiri ini sepertinya memang lebih spesifik ke aspek system authentication dan users’s security awareness. Tetapi sebagai regulator, bisa jadi OJK menjadikan ini sebagai pintu masuk untuk meningkatkan kontrol pada penyelenggaraan electronic banking secara keseluruhan. Sebagai catatan penting, masih banyak bank di Indonesia ini yang melakukan outsourcing ke pihak ketiga atas penyelenggaraan electronic banking-nya, termasuk internet banking. Kebijakan penggunaan outsourcing secara prinsip tidak bermasalah, asal kontrol diimplementasikan secara memadai.

Untuk kepentingan audit, prinsip-prinsip di atas perlu diturunkan dalam kontrol-kontrol kritikal. Kontrol-kontrol kritikal tersebut yang akan menjadi lingkup audit. Merujuk kepada metodologi standar audit, untuk mengidentifikasi kontrol-kontrol kritikal tersebut perlu untuk melihat konteks organisasi dan arsitektur teknis. Tulisan selanjutnya akan membahas tentang kontrol-kontrol kritikal di prinsip-prinsip electronic banking. Jika tidak memungkinkan semua, kemungkinan akan lebih difokuskan pada aspek security controls.

Advertisements

Audit Arsitektur TI

Auditing IT Architecture

Apakah IT Architecture itu? Kalau dalam dunia sipil, Arsitektur Bangunan menjelaskan tentang desain detail sebuah bangunan: bagaimana bentuk detail bangunan dan apa saja bahan yang digunakan; tentu saja merujuk kepada satu hal paling mendasar: bangunan itu diperuntukkan untuk apa? Demikian pula Arsitektur TI, dia merupaka DESAIN dan SPESIFIKASI “bangunan” TI di sebuah organisasi atau perusahaan. Idealnya Arsitektur TI itu mencerminkan strategi bisnis, dan potensi TI sangat luar biasa dalam domain ini. Organisasi atau perusahaan yang terbawa arus “Demam TI” tidak akan pernah menghasilkan nilai tambah yang berarti. Hanya organisasi atau perusahaan yang memiliki Arsitektur TI yang paling tepatlah yang paling bisa mendayagunakan TI untuk bisnisnya.

Investasi TI itu tidak murah, apalagi daur hidupnya yang tidak panjang-panjang amat, ambillah per 5 tahunan. Satu faktor utama lain yang mesti selalu diperhatikan: tantangan terbesar implementasi TI ternyata adalah manajemen perubahan individu dan organisasi. Semahal apa pun investasi TI digelontorkan, tidak akan berguna kalau manajemen perubahan itu tidak dilakukan. Masalahnya manajemen perubahan itu tidak mudah, jauh lebih mudah pengadaan teknologinya tentu saja. Dengan kata lain, investasi TI itu tidak sederhana, bukan hanya beli aplikasi atau perangkat keras, tetapi mengkombinasikan solusi teknologi tadi dengan pendekatan individu dan organisasi.

Mengapa Audit Arsitektur TI diperlukan? Kalau hal-hal di bawah ini terjadi, mungkin bisa dipertimbangkan mengapa perlu audit Arsitektur TI:

  1. Investasi TI sudah dilakukan sekian tahun, tapi tidak banyak berarti dalam memenangkan persaingan bisnis. Tetap saja tak ada perbedaan signifikan perusahaan kita dengan yang lain.
  2. Aplikasi banyak dibangun, tetapi tetap saja ditemui kesulitan dalam memonitor keberjalanan bisnis. Bahkan mungkin lebih ironis lagi, manajemen atau eksekutif pengambilan keputusannya masih didasarkan pada laporan-laporan manual, di tiap-tiap rapat koordinasi setiap manajer bidang membawa laporan segepok.
  3. Pelaporan-pelaporan bisnis tidak bertambah efisien secara berarti.
  4. Pertukaran informasi dan komunikasi antar staff dan unit kerja masih mengandalkan pola-pola konvensional.
  5. Dulu pakai manual cepat, sekarang pakai berbagai aplikasi malah prosesnya semakin lama?

Jadi Audit Arsitektur TI ini bisa jadi sangat strategis untuk sebuah organisasi atau perusahaan. Setidaknya, berikut ini adalah pertanyaan-pertanyaan yang ingin dijawab dengan Audit Arsitektur TI ini:

  1. Apakah seluruh layanan bisnis telah difasilitasi oleh sistem informasi yang memadai? Untuk setiap layanan bisnis yang telah difasilitasi oleh sistem informasi: apakah keberadaannya benar-benar memberikan nilai berarti bagi bisnis?
  2. Apakah sistem informasi yang ada sekarang ini mengimplementasikan platform yang dapat mengakomodir persyaratan pertumbuhan kapasitas dan keamanan yang memadai?
  3. Apakah seluruh sistem informasi yang ada sekarang ini mengakomodir kebutuhan integrasi sistem?
  4. Apakah informasi yang dihasilkan oleh seluruh sistem informasi dapat digunakan untuk monitoring operasional secara cepat dan dasar pengambilan keputusan yang akurat bagi top level management?
  5. Dan ujungnya: Apakah Arsitektur TI saya saat ini sudah sesuai dengan Arsitektur Bisnis saya?

Semoga di tulisan mendatang bisa dilanjut dengan sekilas pendekatan yang dapat digunakan untuk melakukan Audit Arsitektur TI ini.

Bagaimana bisa lulus CISA?

Saya dua kali ngambil ujian baru lulus, tahun 2004 dan 2005. Ngambil pertama, baru kenal apa itu CISA dan ISACA. Saat itu lagi ada kerjaan di salah satu perusahaan, dosen saya ngebawain satu buku yang beliau bawa dari jepang: CISA Preparation (saya lupa ini yg ngarang siapa). Bukunya tipis, bukan buku resmi ISACA (saya tak tahu bahwa ternyata ada buku manual resminya), tanpa didukung kumpulan soal sama sekali. Waktu itu ada kerjaan audit ERP dengan waktu yang sangat ketat, masih beginner jadi nabrak sana sini untuk buat metodologinya. Sampai 1 hari menjelang tes, belum satu bab pun selesai dibaca, apalagi ngerjain soalnya. Dan tibalah hari ujian, dengan pesimisme tinggi nekatlah ikut ujian. Gile… soalnya aneh, benar2 perlu analisa mendalam. Hanya soal2 terkait dengan pengembangan sistem saja yg sepertinye bisa ditembak. Yg lain, ya ditembak dengan bidikan yang tak jelas. 🙂 Satu bulan kemudian ada pengumuman: TAK LULUS, nilai cuma 69 dari minimal 75.

Tahun berikutnya ngambil lagi, alhamdulillah lulus. Kemarin sore dapat sms dari salah satu temen yg akhir tahun lalu minta saya ngebantu ngisi sesi CISA Preparation buat 6 orang dari salah satu lembaga tinggi negara. Hebat, dari 6 yg ikut, 4 ngabari lulus ujian desember kemarin. First Trial!! Semoga yg 2 lagi juga lulus. Hebatlah…. dibandingkan saya tentunya. 🙂

Berikut ini adalah bbrp kunci yg menurut saya bisa membantu lulus CISA:

  1. Mempunyai sense yang memadai – Karena hampir semua soalnya merupakan analisa mendalam, maka sense di sini diperlukan. Dalam banyak kasus soal, bisa jadi semua jawaban benar: mana yg paling benar/tepat, mana yang pertama kali dilakukan, mana yang paling tepat risikonya?? Mungkin inilah mengapa selain harus lulus ujian, CISA hanya dpt diberikan kepada orang yg sudah pengalaman 5 tahun (ada waivernya untuk bbrp klausul).
  2. Beli manual yang resmi, ulangi dan ulangi bacanya – Sampai saat ini, panduan ujian CISA terbaik menurut saya adalah manual resmi yang dikeluarkan tiap tahun oleh ISACA. Kalau punya dana terbatas, ini prioritas pertama yg harus dibeli. Saya tak pernah bisa tamatkan buku manual ini, bahkan di ujian kedua saya. Tapi ini contoh jelek, contohlah tips orang-orang india yang punya metrik: minimal khatam 2x. Mungkin karena itulah orang2 india itu skornya tinggi-tinggi.
  3. Perkaya literatur – Biasanya di setiap bab manual ada bahan-bahan tambahan yang disarankan untuk dibaca sebagai tambahan. Pengalaman saya, ini mayoritas bisa terpenuhi dengan googling. Jadi sebaiknya luangkan waktu untuk nyari materi tambahan ini.
  4. Latihan dan latihan soal – Selanjutnya adalah mengerjakan semua latihan soal yang ada di buku manual. Itu minimal sekali, baiknya usahain untuk dapat kumpulan latihan soal yang dikeluarkan oleh ISACA setiap tahunnya. Ribuan soal di dalamnya akan sangat membantu dalam mempertajam sense. Jangan berharap seperti UMPTN/SPMB bahwa soal-soal yang ada di situ akan keluar lagi, itu kemungkinanya sangat-sangat kecil. Yg penting adalah kita mengenal polanya, itu kuncinya. Karena itu jangan hapalkan jawabannya, tapi pelajari isi dari setiap soal. Bisa jadi nanti akan dibolak-balik, atau cara pandang sebuah soal terhadap satu kondisi akan sama, cuma kasusnya berbeda.

Apakah perlu ikutan Bimbel CISA? Kalau punya uang dan waktu yang terbatas untuk mereview manual, mungkin itu bisa jadi alternatif. Tapi tak ikut pun tak apa-apa. Bimbel CISA cuma dua yang dibahas: Manual CISA resmi dari ISACA (ini ada ppt bawaan dari ISACA) dan soal-soal dari ISACA. Try out bimbel itu mayoritas hanya ngambil dari soal-soal yang dikeluarkan ISACA. Kalau Anda bisa spend waktu sendiri secara disiplin, belajar sendiri tak apa-apa. Mau ikut bimbel atau belajar sendiri, kunci berikutnya adalah:

Membuat program persiapan pribadi & rajin nyicil belajar

Rasanya itu saja, plus nanti kalau mau ujian harus siapin fisik dengan baik: sarapan yang berkualitas dan tidur cukup malam sebelumnya; karena ujiannya cukup lama: 4 jam ujian + 1 jam persiapan ndengerin “pembawa acara” bule yang kadang sangat cerewet 🙂