Case Study IT Audit: PT BPR Maju Bersama

Posted on by Emanuel Anggit

Case Study

PT Bank Perkreditan Rakyat Maju Bersama adalah sebuah perusahaan yang bergerak dalam bidang perbankan. PT BPR Maju Bersama saat ini memiliki sistem informasi namun belum menggunakan ERP system. Sistem informasi tersebut di develop oleh tim TI PT BPR Maju Bersama. Sistem informasi yang dimiliki oleh perusahaan sudah terintegrasi, namun kemudian diperoleh informasi bahwa setiap program aplikasi menggunakan bahasa program development yang berbeda. Program aplikasi untuk penghitungan gaji dan bonus dibangun dengan menggunakan bahasa program Oracle, sedangkan untuk program akuntansi menggunakan program aplikasi yang dibangun dengan Visual C.

Data untuk penghitungan insentif dan bonus tim marketing, di-entry, proses dan output-nya dikerjakan oleh tim TI. Hasil penghitungan insentif dan bonus tersebut didistribusikan ke bagian Akuntansi dan keuangan untuk dibayarkan kepada anggota tim. Menurut manajer TI, perhitungan insentif dan bonus sudah pasti tanpa kesalahan karena merupakan output komputer dan tidak memerlukan verifikasi.

Server PT Majuku berada di kantor pusat yang berada di Karawang sedangkan cabang tidak memiliki server langsung menggunakan WAN yang dikoneksikan melalui satelit. Kepada anggota tim diberikan fasilitas untuk melakukan transaksi menggunakan fasilitas internet.
Perusahaan belum menyusun BCP. Namun berdasarkan kebiasaan, data yang ada pada server di back up sebulan sekali dalam bentuk softcopy dan hardcopy yang disimpan pada gudang kantor pusat. Program pada PT BPR Maju Bersama tidak menggunakan audit log dengan alasan membuat penuh memory pada server. Password tingkat tertinggi pada program perusahaan dipegang oleh Manajer TI.

Hal yang perlu Anda analisis – sintesis:

Apabila Anda adalah auditor yang ditugaskan untuk melakukan audit terhadap sistem informasi perusahaan tersebut:

  1. Tentukan risiko yang muncul berdasarkan kasus di atas!
  2. Lakukan tahap-tahap audit, jika perlu tambahkan asumsi yang Anda anggap perlu!
  3. Berikan Rekomendasi perbaikan TI PT BPR Maju Bersama!

 

Jawab

Resiko yang muncul

Untuk menentukan resiko apa saja yang muncul berdasarkan kasus tersebut di atas, perlu dianalisa terlebih dahulu internal control yang ada di PT BPR Maju Bersama. Hal ini karena internal control berfungsi untuk memitigasi resiko yang ada.

Menurut Davis (2011), internal control adalah mekanisme yang dapat memastikan proses dalam sebuah perusahaan berfungsi dengan semestinya. Internal control dapat bersifat preventive, detective, maupun reactive. Implementasi internal control dapat bersifat administrative, technical, maupun physical implementation. Contoh administrative implementation misalnya dengan menentukan aturan dan larangan. Technical implementation dapat berupa software yang mengimplementasikan control, semisal password. Physical control dapat berupa kartu akses untuk pintu kantor serta petugas security yang berjaga.

Berikut beberapa internal control dan resiko yang terkait di dalamnya:

Data Synchronization Control

Karena belum ada ERP, terdapat resiko perbedaan data pada database antara satu aplikasi dengan aplikasi lain yang dipakai PT BPR Maju Bersama. Internal control yang dapat digunakan untuk memitigasi resiko ini:

  • Pastikan data pada database aplikasi A mengacu pada data yang valid pada aplikasi B.
  • Pastikan index database berfungsi dengan normal
  • Pastikan perubahan pada satu aplikasi tidak mengganggu struktur database aplikasi lain.

Code Maintenance Control

Karena bahasa pemrograman yang dipakai berbeda-beda, ada resiko kesulitan maintenance code aplikasi yang digunakan. Internal control yang dapat digunakan untuk memitigasi resiko ini:

  • Pastikan terdapat inline comment pada source code yang digunakan
  • Pastikan dokumen yang berisi penjelasan source code ada
  • Pastikan programmer menggunakan central code repository seperti git / SVN.

Accounting Inaccuracy Control

Karena data insentif dan bonus tim marketing di-input oleh tim IT, terdapat resiko ketidakakuratan hasil penghitungan akuntansi. Karena walaupun data diproses dengan komputer, tidak ada tim akuntansi yang memverifikasi kebenaran hasil pemrosesan tersebut. Internal control yang dapat digunakan untuk memitigasi resiko ini:

  • Pastikan tim accounting memverifikasi validitas rumus / perhitungan yang digunakan pada aplikasi penghitungan insentif dan bonus.
  • Pastikan data insentif dan bonus dapat di-generate secara otomatis oleh sistem, dan tidak bergantung pada tim IT untuk inputnya.

Data Link Availability Control

Karena koneksi antara cabang dengan kantor pusat dilakukan melalui satelit, terdapat resiko ketersediaan jaringan komunikasi. Hal ini karena sifat dari satelit sendiri, yang berpotensi lumpuh jika posisi antena tidak akurat. Internal control yang dapat digunakan untuk memitigasi resiko ini:

  • Pastikan maintenance terhadap antena dan unit satelit dijalankan secara rutin
  • Pastikan tim yang memantau komunikasi satelit terdiri dari orang-orang yang berkompeten dalam bidang ini.
  • Pastikan ada monitoring terhadap komunikasi ke satelit, sehingga kualitas jaringan ke satelit tetap terjaga.

Business Continuity Control

Karena belum ada BCP (Business Continuity Planning), terdapat resiko terhadap kelangsungan bisnis jika terjadi disaster (bencana). Internal control yang dapat digunakan untuk memitigasi resiko ini:

  • Buat planning BCP beserta dokumennya.
  • Lakukan simulasi BCP secara rutin tiap tahunnya.

Backup Data Recovery Point Objective (RPO) Control

Karena data dibackup hanya sebulan sekali, terdapat resiko ketersediaan data jika dibutuhkan restore terhadap data terbaru. Data lama yang dapat di-restore paling dekat adalah sebulan ke belakang, sehingga jika PT BPR Maju Bersama membutuhkan data sehari sebelumnya, tidak dapat dilakukan. Internal control yang dapat digunakan untuk memitigasi resiko ini:

  • Buat schedule backup sehari sekali
  • Lakukan test restore terhadap data yang sudah dibackup, untuk memastikan data tersebut dapat di-restore.

Backup Data Security Control

Karena softcopy dan hardcopy disimpan di gudang kantor pusat, terdapat resiko security jika terjadi pencurian terhadap data tersebut. Internal control yang dapat digunakan untuk memitigasi resiko ini:

  • Pastikan akses ke gudang dilengkapi dengan access card elektronik.
  • Pastikan gudang diawasi security selama 24 jam, 7 hari seminggu
  • Pastikan gudang aman dari resiko kebakaran dari ruangan-ruangan di sekitarnya.

System / Server Access Control

Karena tidak ada audit log, terdapat resiko tidak adanya monitoring terhadap siapa saja yang mengakses server dan melakukan apa saja terhadap server. Selain itu password tingkat tertinggi dipegang oleh manajer IT, bukan tim IT Security, sehingga control terhadap computer access harus diperhatikan. Internal control yang dapat digunakan untuk memitigasi resiko ini:

  • Buat tim IT security yang berfungsi mengelola security dan password semua aplikasi, sistem, dan database perusahaan.
  • Pastikan ada catatan yang berisi data peminjaman password.
  • Pastikan password aplikasi, sistem, dan database diubah secara rutin setiap kali dipinjam. Jika tidak pernah dipinjam, pastikan password diubah sebulan sekali.

 

Tahapan Audit untuk PT BPR Maju Bersama

Menurut Davis (2011), terdapat enam tahap utama dalam melakukan audit. Berikut enam tahap tersebut yang langsung diterapkan dalam studi kasus PT BPR Maju Bersama.

davis_audit.png

Planning

Tujuan tahap planning ini adalah untuk menentukan tujuan dan scope audit. Hal-hal apa saja yang akan di-audit perlu di-review secara matang dalam tahap ini. Poin-poin audit bisa didapatkan dari catatan dari audit manager, preliminary survey, permintaan dari customer, checklist standar, maupun dari hasil riset.

Setelah diketahui hal-hal apa saja yang akan di-audit, kemudian dilakukan assessment terhadap resiko-resiko pada area yang akan di-review. Resiko-resiko ini sudah dipaparkan pada jawaban nomor 1.

Kemudian dijadwalkan penjadwalan, kapan audit tersebut akan dilakukan ke PT BPR Maju Bersama. Kick-off meeting kemudian akan dilakukan bersama dengan PT BPR Maju Bersama. Hal-hal yang akan disampaikan meliputi scope apa saja yang akan di-audit dan tidak akan di-audit. Dalam kick-off meeting ini juga menjadi sesi final jika customer ingin memberikan input tambahan terkait audit yang akan dilakukan.

Fieldwork and documentation

Pada tahap ini, tahap audit yang sudah dipersiapkan sebelumnya dijalankan di lapangan oleh tim audit.

  • Lakukan audit dengan melakukan pengecekan log system, log aplikasi, dan log database jika ada.
  • Lakukan wawancara dengan tim IT yang terkait resiko yang sudah ditentukan pada jawaban nomor 1.
  • Cek lokasi gudang, apakah terdapat security yang berjaga dan apakah ada CCTV yang terpasang.
  • Cek apakah dokumentasi code dan aplikasi terekam dengan jelas.
  • Cek apakah rumus yang digunakan pada penghitungan insentif dan bonus tim marketing masih valid dan relevan.
  • Cek ketersediaan jaringan satelit serta kontrak sewa kepada perusahaan satelit masih berlangsung lama.
  • Cek bagaimana tim IT akan menghadapi disaster terhadap sistem IT maupun kantor pusat.
  • Cek apakah backup database 2 tahun ke belakang masih dapat di-restore.
  • Cek apakah ada catatan peminjaman user id dan password.
  • Cek apakah jaringan WAN yang saat ini digunakan diproteksi dengan enkripsi seperti VPN (Virtual Private Network).
  • Cek apakah license yang digunakan untuk Oracle dan Visual C masih berlaku.

Issue discovery and validation

Selama audit dilakukan, catat semua issue yang menjadi perhatian. Pastikan semua issue yang dicatat valid dan relevan. Komunikasikan secepat mungkin dengan customer jika ada issue yang menjadi perhatian.

Solution development

Pada tahap ini, lakukan kerjasama bersama customer dalam membuat action plan untuk mengatasi issue-issue yang ditemukan selama fieldwork. Tiga pendekatan yang dapat digunakan untuk mengatasi issue yang ada:

  • Recommendation approach

Pada pendekatan ini, kemukakan issue apa saja yang ditemukan kepada customer, kemudian sampaikan rekomendasi apa saja yang dapat dilakukan. Jika customer setuju dengan rekomendasi tersebut, action plan tersebut baru dapat dijalankan.

  • Management-response approach

Pada pendekatan ini, tim audit cukup memberikan daftar semua issue yang ditemukan kepada customer. Customer kemudian akan menentukan response dan action plan yang akan dilakukan.

  • Solution approach

Pada pendekatan ini, tim audit dan customer bekerja sama untuk mengembangkan solusi yang disetujui bersama.

Issue yang ditemukan pada tahap sebelumnya, diberikan rekomendasinya pada jawaban nomer 3 pada soal ini.

Report drafting and issuance

Pada tahap ini, dibuat laporan audit. Laporan audit berfungsi sebagai pelaporan untuk tim audit dan customer, serta pelaporan untuk senior manager dan komite audit.

Issue tracking

Pada tahap akhir ini, dilakukan pengecekan dan tracking, apakah action plan sudah dijalankan terhadap issue yang sudah ditemukan pada sesi audit.

 

Perbaikan IT untuk PT BPR Maju Bersama

  • Segera implementasikan ERP. Semakin banyaknya transaksi akan membuat sistem sekarang menjadi lebih kompleks jika tidak dibuat terpusat. Akan lebih baik jika ERP mulai dikembangkan dari sekarang.
  • Gunakan centralized code repository seperti git / SVN. Hal ini agar manajemen code dapat dilakukan lebih baik dan terdokumentasi dengan baik. Selain itu juga meningkatkan kinerja programmer, karena memudahkan mereka untuk berkolaborasi dalam mengembangkan code.
  • Berikan pemahaman kepada programmer senior maupun junior mengenai pentingnya komentar inline pada code yang dikembangkan. Jika perlu, lakukan standarisasi komentar inline tersebut, agar code lebih mudah dibaca oleh orang lain.
  • Pastikan setiap changes yang akan masuk ke production dilengkapi dengan dokumen yang berisi source code terbaru. Hal ini agar perubahan terhadap code dapat selalu terdokumentasi, code apa saja yang berubah dan fungsi apa saja yang berubah.
  • Buat sistem otomasi penghitungan insentif dan bonus tim marketing, sehingga tidak perlu ada campur tangan manusia dalam penghitungan ini. Hal ini untuk menghindari human error jika input masih dilakukan secara manual.
  • Sewa jaringan internet umum sebagai alternatif komunikasi dari kantor cabang ke kantor pusat. Gunakan VPN (Virtual Private Network) agar komunikasi lebih aman.
  • Lakukan backup minimal sehari sekali. Akan lebih baik jika backup bisa dilakukan tiap enam jam sekali. Sehingga RPO yang dicapai lebih dekat, untuk mengurangi resiko hilangnya data transaksi.
  • Simpan data backup di lokasi off-site, atau lokasi yang berbeda dengan data center kantor pusat. Hal ini agar jika terjadi kerusakan pada data center kantor pusat, data backup masih aman karena berada di lokasi yang terpisah.
  • Pastikan lokasi penyimpanan data backup di off-site terlindung dari bencana dan resiko pencurian. Lokasi penyimpanan off-site harus dilengkapi security yang siaga 24 jam selama 7 hari dalam seminggu. Pastikan lokasi terekam CCTV.
  • Bangun centralized password repository seperti software cyberark. Dengan menggunakan repository password seperti ini, manajemen password semua aplikasi, sistem, dan database dapat dilakukan dengan mudah. Sistem cyberark juga dapat melakukan password reset setiap kali password selesai dipinjam dan  secara rutin tiap periode yang ditentukan. Cyberark juga dapat mencatat siapa saja yang meminjam password, sehingga dapat digunakan untuk kepentingan audit nantinya.
  • Buat tim IT security, untuk mengelola password dan security aplikasi, sistem, dan database perusahaan.

 

 

Referensi:

Peltier, T. (2005). Information Security Risk Analysis 2nd ed. Taylor & Francis Group, LLC

Davis, C. et al (2011). IT Auditing Using Controls to Protect Information Assets, 2nd Edition. McGraw-Hill Education; 2 edition (January 31, 2011)

Cyberark – Centralized Password Management. https://www.cyberark.com/

Published by Emanuel Anggit

officer @Bank Central Asia, full time father, and a long life learner

Leave a comment