Peran TI di institusi keuangan sudah terbukti dapat meningkatkan kemampuan bank dalam memberikan layanan kepada nasabah. Pemrosesan data secara online dan real time telah mempercepat proses transaksi nasabah. Penggunaan alat pembayaran menggunakan kartu, misalnya kartu ATM, telah memudahkan nasabah bank melakukan transaksi sendiri dan cepat. Kini, para nasabah tidak perlu lagi pergi ke bank untuk melakukan transfer uang tunai. Cukup dengan menggunakan ATM, bank yang sama ataupun ke rekening pada bank yang lain. Selain itu, dalam berbelanja, layanan auto debet melalui kartu ATM telah memudahkan nasabah saat berbelanja. Dengan layanan ini, nasabah tidak perlu lagi membawa sejumlah uang tunai. Dengan menggunakan kartu (debit) ATM, nasabah dapat membayar secara tunai tanpa menggunakan uang secara fisik. Penggunaan kartu ATM hanyalah salah satu contoh pemanfaatan TI pada layanan perbankan.

Selain manfaat yang diperoleh, penggunaan TI juga membawa risiko pada bank. Kegagalan pemrosesan transaksi, permasalahan jaringan komunikasi, dan ketidakakuratan data adalah beberapa contoh permasalahan dalam penggunaan TI disamping permasalahan-permasalahan lainnya yang memungkinkan terjadinya risiko-risiko perbankan. Risiko-risiko yang potensial terjadi pada penyelenggaraan TI oleh bank antara lain risiko operasional, reputasi, risiko hukum, dan risiko-risiko perbankan lainnya.

Peraturan Bank Indonesia (PBI) nomor 9/15/PBI/2007 dan Peraturan   Otoritas Jasa Keuangan nomor 38/POJK.03/2016 merupakan peraturan tentang penerapan manajemen risiko dalam penggunaan Teknologi Informasi (TI) oleh Bank Umum. Salah satu hal penting yang dicantumkan di dalam PBI dan POJK tersebut adalah kewajiban bank untuk melaksanakan pengendalian dan audit intern atas penyelenggaraan TI. Dalam PBI dan POJK tersebut dinyatakan bahwa bank wajib melaksanakan pengendalian intern secara efektif terhadap semua aspek penggunaan TI.

Mengacu pada PBI dan POJK tersebut, ruang lingkup audit penggunaan TI oleh bank dapat didefinisikan dan minimal meliputi:

1.       Manajemen TI.

2.       Pengembangan dan pengadaan Sistem/Teknologi Informasi.

3.       Operasional TI.

4.       Jaringan komunikasi.

5.       Pengamanan informasi.

6.       Business continuity plan.

7.       End user computing

8.       Electronic banking.

9.       Penggunaan layanan oleh penyedia jasa TI

Bentuk pengendalian dan audit intern atas penyelenggaraan SI/TI pada ruang lingkup tersebut lebih dikenal di institusi keuangan sebagai IT General Control dan IT Application Control. Audit sistem/teknologi informasi (SI/TI) adalah bentuk pengawasan dan pengendalian dari IT General Control dan IT Application Control terhadap ruang lingkup penggunaan SI/TI yang diatur oleh PBI tersebut. Audit teknologi informasi ini dapat berjalan bersama-sama dengan audit finansial dan audit internal, atau dengan kegiatan pengawasan dan evaluasi lain yang sejenis.

Dalam pelaksanaanya, auditor SI/TI harus mengumpulkan bukti-bukti yang memadai melalui berbagai teknik termasuk survey, wawancara, observasi dan review dokumentasi. Satu hal yang unik, bukti-bukti audit yang diambil oleh auditor biasanya mencakup tidak hanya dokumen/hardcopy namun juga bukti elektronis, misalnya data transaksi harian/bulanan tabungan dan pinjaman, pembelian pulsa, barang, tiket transportasi dan transfer uang di ATM atau internet banking, dan lain-lain.

Dikarenakan keterbatasan dari waktu dan tenaga auditor TI dalam melakukan kegiatan pengawasan dan pengendalian setiap harinya Auditor SI/TI dituntut tidak hanya harus mampu mengidentifikasi risiko yang sering muncul dan berdampak besar bagi bank namun juga harus memberikan solusi hal apa saja yang dapat mengontrol dan memitigasi risiko tersebut. Audit TI berbasis risiko membantu senior/top manajemen bank untuk menentukan area mana yang memiliki risiko tinggi berdasarkan tingkat persepsi risiko dari unit/fungsi risk manajemen bank. Dari penentuan persepsi identifikasi risiko yang tinggi kemudian dibuat kendali/control untuk memitigasinya. Auditor TI dapat langsung menentukan area mana yang lebih penting/kritikal diaudit berdasarkan tingkat persepsi risiko tersebut. Sehingga Audit TI lebih fokus pada risiko yang tinggi. Dari area yang risiko yang tinggi ini kemudian dilakukan Audit TI.

Pendekatan audit TI berbasis risiko ini lebih efektif dan efisien dan tidak membuang waktu dan tenaga Auditor TI karena pelaksanaan audit berdasarkan area risiko yang tinggi (auditable high risk area). Kegiatan audit TI pada low risk area berdampak auditor tidak akan banyak memberikan nilai tambah bagi bank.

“Audit the things that really matter to your organization”