2016

Audit Internet Banking

Nurul Haque
5211153045
0|A u d i t I n t e r n e t B a n k i n g

1.

Pengertian Internet Banking

Internet Banking adalah sebuah platform yang diberikan oleh masing-masing

perbankan untuk mempermudah para nasabahnya melakukan transaksi tanpa harus

bertatap muka atau bertemu. Internet Banking bisa dikatakan fasilitas yang diberikan
Perbankan sebagai mediasi / alat pembayaran tanpa menggunakan uang tunai langsung.
2.

Penerapan Internet Banking (E-Banking)

1) Manajemen resiko dalam penyelenggaraan kegiatan internet banking Peraturan
yang dikeluarkan oleh Bank Indonesia terkait dengan pengelolaan atau
manajemen risiko penyelenggaraan kegiatan internet banking adalah Peraturan
Bank Indonesia No. 5/8/PBI/2003 tentang Penerapan Manajemen Risiko Bagi Bank
Umum dan Surat Edaran Bank Indonesia No. 6/18/DPNP, tanggal 20 April 2004
tentang Penerapan Manajemen Risiko Pada Aktivitas Pelayanan Jasa Bank Melalui
Internet (Internet Banking).
2) Pengendalian pengamanan (security control)
a. Bank harus melakukan langkah-langkah yang memadai untuk menguji
keaslian (otentikasi) identitas dan otorisasi terhadap nasabah yang melakukan
transaksi melalui internet banking.
b. Bank harus menggunakan metode pengujian keaslian transaksi untuk
menjamin bahwa transaksi tidak dapat diingkari oleh nasabah (non
repudiation) dan menetapkan tanggung jawab dalam transaksi internet
banking.
c. Bank harus memastikan adanya pemisahan tugas dalam sistem internet
banking, database dan aplikasi lainnya.
d. Bank harus memastikan adanya pengendalian terhadap otorisasi dan hak
akses (privileges) yang tepat terhadap sistem internet banking, database dan
aplikasi lainnya.
e. Bank

harus

memastikan

tersedianya

prosedur

yang

memadai

untuk

melindungi integritas data, catatan/arsip dan informasi pada transaksi internet

banking.
f.

Bank harus memastikan tersedianya mekanisme penelusuran (audit trail) yang

jelas untuk seluruh transaksi internet banking.

g. Bank harus mengambil langkah-langkah untuk melindungi kerahasiaan

informasi penting pada internet banking. Langkah tersebut harus sesuai

1|A u d i t I n t e r n e t B a n k i n g

dengan sensitivitas informasi yang dikeluarkan dan/atau disimpan dalam

database.
3) Manajemen Resiko Hukum dan Risiko Reputasi
a. Bank harus memastikan bahwa website bank menyediakan informasi yang
memungkinkan calon nasabah untuk memperoleh informasi yang tepat
mengenai identitas dan status hukum bank sebelum melakukan transaksi
melalui internet banking.
b. Bank harus mengambil langkah-langkah untuk memastikan bahwa ketentuan
kerahasiaan nasabah diterapkan sesuai dengan yang berlaku di negara tempat
kedudukan bank menyediakan produk dan jasa internet banking.
c. Bank harus memiliki prosedur perencanaan darurat dan berkesinambungan
usaha yang efektif untuk memastikan tersedianya sistem dan jasa internet
banking.
d. Bank harus mengembangkan rencana penanganan yang memadai untuk
mengelola, mengatasi dan meminimalkan permasalahan yang timbul dari
kejadian yang tidak diperkirakan (internal dan eksternal) yang dapat
menghambat penyediaan sistem dan jasa internet banking.
e. Dalam hal sistem penyelenggaraan internet banking dilakukan oleh pihak
ketiga (outsourcing), bank harus menetapkan dan menerapkan prosedur
pengawasan dan due dilligence yang menyeluruh dan berkelanjutan untuk
mengelola hubungan bank dengan pihak ketiga tersebut.
3.

Sistem Keamanan E-Banking

Menurut Gary Lewis dan Kenneth Thygerson (Harahap, Khairil Aswan : 52), ada dua

jenis sistem keamanan yang dipakai dalam internet banking, antara lain:
1) Sistem Cryptography
Sistem ini menggunakan angka-angka yang dikenal dengan kunci (key). Sistem ini
disebut juga dengan sistem sandi. Ada dua tipe cryptography, yaitu simetris dan
asimetris. Pada sistem simestris menggunakan kode kunci yang sama bagi
penerima dan pengirim pesan. Kelemahan dari cryptography simestris adalah kunci
ini harus dikirim pada pihak penerima dan hal ini memungkingkan seseorang untuk
mengganggu di tengah jalan. Sistem cryptography asimetris juga mempunyai
kelemahan yaitu jumlah kecepatan pengiriman data menjadi berkurang karena
adanya tambahan kode. Sistem ini biasanya digunakan untuk mengenali nasabah
dan melindungi informasi finansial nasabah.
2|A u d i t I n t e r n e t B a n k i n g

2) Sistem Firewall
Firewall merupakan sistem yang digunakan untuk mencegah pihak-pihak yang
tidak diijinkan untuk memasuki daerah yang dilindungi dalam unit pusat kerja
perusahaan. Firewall berusaha untuk mencegah pihak-pihak yang mencoba masuk
tanpa ijin dengan cara melipatgandakan dan mempersulit hambatan-hambatan
yang ada. Namun, yang perlu diingatkan adalah bahwa sitem firewall ini tidak
dapat mencegah masuknya virus atau gangguan yang berasala dari dalam
perusahaan itu sendiri.
Aspek keamanan komputer mempunyai beberapa lingkup yang penting, yaitu:
a. Privacy & Confidentiality
Hal yang paling penting dalam aspek ini adalah usaha untuk menjaga data dan
informasi dari pihak yang tidak diperbolehkan mengkasesnya. Privacy lebih
mengarah kepada data-data yang sifatnya privat. Sebagai contoh, email pengguna
yang tidak boleh dibaca admin. Sedangkan confidentiality berhubungan dengan
data yang diberikan kepada suatu pihak untuk hal tertentu dan hanya
diperbolehkan untuk hal itu saja. Contohnya, daftar pelanggan sebuah ISP.
b. Integrity
Aspek ini mengutamakan data atau informasi tidak boleh diakses tanpa seizin
pemiliknya. Sebagai contoh, sebuah email yang dikirim pengirim seharusnya tidak
dapat dibaca orang lain sebelum sampai ke tujuannya.
c. Authentication
Hal ini menekankan mengenai keaslian suatu data / informasi, termasuk juga pihak
yang memberi data atau mengaksesnya tersebut merupakan pihak yang dimaksud.
Contohnya seperti penggunaan PIN atau password.
d. Availability
Aspek yang berhubungan dengan ketersediaan informasi ketika dibutuhkan.
Sebuah sistem informasi yang diserang dapat menghambat ketersediaan informasi
yang diberikan.
e. Access Control
Aspek ini berhubungan dengan cara pengaksesan informasi. Hal ini biasanya
berhubungan dengan klasifikasi data (public, private confidential, top secret) &
user (guest, admin, top manager, dsb.), mekanisme authentication dan juga
privacy. Seringkali dilakukan dengan menggunakan kombinasi user ID atau
password dengan metode lain seperti kartu atau biometrics.
3|A u d i t I n t e r n e t B a n k i n g

f.

Non-Repudiation
Hal ini menekankan agar sebuah pihak tidak dapat menyangkal telah melakukan
transaksi atau pengaksesan data tertentu. Aspek ini sangat penting dalam hal ecommerce. Sebagai contoh, seseorang yang mengirim email pemesanan barang
tidak dapat disangkal telah mengirim email tersebut.

4.

Keamanan Internet Banking

Keamanan internet banking contohnya pada bank mandiri, aplikasi Internet Banking

Mandiri dijamin kerahasiaan dan keamanannya, dalam hal ini Bank Mandiri menggunakan
teknologi enkripsi Secure Socket Layer (SSL) 128 bit, yang akan melindungi komunikasi
antara komputer nasabah dengan server Bank Mandiri. Untuk menambah keamanan
digunakan metode time out session, dimana setelah 10 menit tanpa aktivitas Nasabah,
maka akses akan tidak aktif lagi.
Selain itu Bank Mandiri akan menjaga kerahasian data pengguna Internet Banking
Mandiri, dan hanya orang tertentu yang berhak untuk mengakses informasi tersebut untuk
digunakan sebagaimana mestinya (dalam hal ini Bank Mandiri akan selalu mengingatkan
karyawan akan pentingnya menjaga kerahasian data Nasabah). Bank Mandiri tidak akan
memperlihatkan / menjual data tersebut kepada pihak ke tiga.
Bank Mandiri juga tidak secara otomatis mengumpulkan informasi data pengunjung
Internet Banking Mandiri, hanya beberapa informasi umum yang akan dikumpulkan dan
digunakan antara lain :
-

Nama domain yang akan digunakan Nasabah untuk mengakses internet.

Internet address yang digunakan untuk mengakses web site Bank Mandiri.

Browser yang digunakan

Hari, tanggal & waktu mengakses internet

Pilihan yang ditentukan oleh Nasabah untuk memberikan informasi kepada Bank,
antara lain jenis rekening.

Untuk dapat mengakses Internet Banking Mandiri Nasabah harus memasukkan

terlebih dahulu User ID dan PIN, dan untuk keamanan Nasabah diharuskan memasukkan
kembali PIN untuk setiap transaksi yang bersifat finansial. Mengingat banyaknya variasi
internet browser yang ada, dan internet banking harus mengikuti keamanan masing-masing
browser, maka saat ini Bank Mandiri menyediakan sarana internet banking yang lebih cocok
diakses dengan menggunakan Netscape Communicator 4.7 atau Microsoft Internet Explorer
versi 5 .01 atau versi terakhir.
Internet Banking menggunakan beberapa metode keamanan terkini seperti:
4|A u d i t I n t e r n e t B a n k i n g

a. Penggunaan protokol Hyper Text Transfer Protokol Secure (HTTPS), yang membuat
pengiriman data dari server ke ISP dan klien berupa data acak yang terenkripsi.
b. Penggunaan teknologi enkripsi Secure Socket Layer (SSL) 128 bit, dari Verisign.
Dengan SSL inilah, transfer data yang terjadi harus melalui enkripsi SSL pada
komunikasi tingkat socket.
c. Penggunaan user ID dan PIN untuk login ke layanan Internet Banking ini.
d. Penggunaan metode time out session, yang menyebabkan bila setelah 10 menit
nasabah tidak melakukan aktivitas apapun, akses tidak berlaku lagi.
e. Penggunaan PIN Mandiri untuk setiap aktivitas perbankan. PIN ini di-generate dari
Token PIN Mandiri.
5.

Penanggulangan Ancaman pada Sistem Internet Banking Mandiri

Ada usaha pengamanan yang dapat digunakan untuk meningkatkan tingkat keamanan

dan pada saat yang sama meningkatkan kepercayaan (trust) dari nasabah. Secara teknis
sistem dapat diproteksi dengan menggunakan firewall, Intrusion Detection System (IDS),
dan produk cryptography (untuk encryption dan decryption seperti penggunaan SSL). Selain
hal teknis yang tidak kalah pentingnya adalah usaha untuk meningkatkan awareness (baik
dari pihak management, operator, penyelenggara jasa, sampai ke nasabah), membuat
policy (procedure) yang baik dan mengevaluasi sistem secara berkala.
Penanggulangan potensi penyerangan keamanan sitem internet banking, diantaranya;
a. IP spoofing diantisipasi dengan penyaringan oleh router.
b. User name spoofing, sistem otentikasi mencegah seseorang dari berpura-pura
menjadi user lain dengan memerlukan sandi untuk mengakses bank, transmisi
semua password terenkripsi, dan menggunakan encrypted one-time cookies untuk
mempertahankan state yang telah disahkan.
c. Upaya untuk Crack Database Otentikasi (Attempts to Crack Authentication
Database), Informasi account pelanggan yang disimpan pada database server yang
terlindungi di belakang firewall dan database tidak dapat di download dari Internet.
d. Serangan berbasis web server (Web Server Based Attacks), Serangan terhadap
Netscape Commerce Server adalah digagalkan karena lingkungan chroot-ed dan
karena proses outside yang tidak bisa melihat apa-apa pada proses inside.
Firewall hanya mengizinkan mail untuk melewati dan menggunakan SMTP filter.
Setiap mesin minimal dikonfigurasi untuk hanya melakukan tugasnya, dan tidak
lebih. Pengamanan di atas pada prinsipnya merupakan usaha untuk memenuhi aspek
5|A u d i t I n t e r n e t B a n k i n g

keamanan seperti authentication, confidentiality / privacy, non-repudiation, dan

availability. Adanya pengamanan ini tidak membuat sistem menjadi 100% aman
akan tetapi dapat membuat sistem dipercaya (trusted). Potensi lubang keamanan
dapat dianggap sebagai resiko. Maka masalah ini dapat diubah menjadi masalah risk
management.
6.

Solusi Alternatif
Untuk mengantisipasi berbagai permasalahan yang terkait dengan keamanan sistem

informasi, maka perlu diimplementasikan suatu kebijakan dan prosedur pengamanan yang
mencakup :
1. Identifikasi sumber-sumber dan aset-aset yang akan dilindungi
2. Analisa kemungkinan ancaman dan konsekuensinya.
3. Perkirakan biaya atau kerugian-kerugian yang dapat ditimbulkan.
4. Analisa potensi tindakan penangkal dan biayanya serta kerugian lainnya.
5. Mekanisme pengamanan yang sesuai.
6. Perlu adanya suatu ketentuan yang mengatur perbankan nasional yang memiliki
pusat penyimpanan, pemrosesan data atau informasi dan transaksi perbankan
yang letaknya di luar negeri.
7. Perlu dibentuk sebuah unit kerja khusus atau divisi Pengamanan Pencegahan
kejahatan perbankan di dalam struktur Bank / Bank Indonesia yang fungsinya
untuk melakukan penerapan kebijakan pengamanan sistem, melakukan penelitian
untuk pencegahan terhadap ancaman / kejahatan yang sudah ada maupun yang
mungkin terjadi dan melakukan tindakan recovery serta pemantauan transaksi
perbankan selama 24 jam.
8. Bank Indonesia perlu melakukan audit terhadap sistem teknologi informasi dan
komunikasi yang dilakukan oleh perbankan untuk setiap kurun waktu tertentu.
9. Memperketat / mengendalikan dengan cermat akses nasabah maupun pegawai
kejaringan sistem ICT perbankan, agar seluruh pegawai perbankan mengetahui
bahwa mereka juga dipantau.
10. Perlu adanya ketentuan (Peraturan atau UU) agar perbankan bertanggung jawab
dengan mengganti uang nasabah yang hilang akibat kelemahan sistem
pengamanan ICT perbankan.
11. Perlu digunakan Perangkat Lunak Komputer Deteksi (software) untuk aktifitas
rekening nasabah agar apabila terjadi kejanggalan transaksi dapat ditangani
dengan cepat.
6|A u d i t I n t e r n e t B a n k i n g

12. Perlu sosialisasi aktif dari perbankan kepada masyarakat / nasabah dan pegawai
perbankan mengenai bentuk-bentuk kejahatan yang dapat terjadi dengan produk /
layanan yang disediakannya.
13. Menambah persyaratan formulir identitas pada waktu pembukaan rekening baru
untuk pemeriksaan pada data base yang menghimpun daftar orang bermasalah
dengan institusi keuangan.
14. Pihak perbankan harus meningkatkan keamanan Internet Banking dengan
melakukan beberapa hal seperti :
-

Melakukan standarisasi dalam pembuatan aplikasi Internet Banking.

Terdapat panduan apabila terjadi fraud dalam Internet Banking.

Pemberian informasi yang jelas kepada user sedangkan pihak pemerintah dapat
membebankanmasalah keamanan Internet Banking kepada pihak bank sehingga
apabila terjadi fraud dalam suatu nilai tertentu, user dapat mengajukan klaim.

15. Khusus

perihal

beban

pembuktian,

perlu

dipikirkan

kemungkinan

untuk

menerapkan om kering van bewijslast atau pembuktian terbalik untuk kasus-kasus

cybercrime yang sulit pembuktiannya. Tujuannya adalah untuk mengadili para
carder yang berbelanja dengan menggunakan kartu kredit orang lain secara
melawan hukum.
16. Selain pembaharuan terhadap hukum pidana matriil dan formil, juga dibutuhkan
badan khususuntuk menanggulangi cybercrime yang terdiri atas penyidik khusus
yang bertugas untuk melakukan investigasi bahkan sampai pada tahap penuntutan
17. Mengadakan pelatihan perihal cyber space kepada aparat penegak hukum yang
mutlak dilakukan
18. Perlu dibuat suatu kerja sama untuk meningkatkan koordinasi dan tukar menukar
informasi secara online dan ditunjuk contact person dengan mengikutsertakan
berbagai pihak.
19. sebaiknya dibuat aturan hukum yang mewajibkan setiap penyelenggara Internet
Banking agar dalam setiap transaksi dari siapa pun dan dari mana pun para
pihak diharuskan mencantumkan dan diminta memberikan digital signature atau
tanda tangan elektronik dalam transaksi online tersebut.
20. POLRI dan Bank Indonesia harus melakukan beberapa hal penting yang meliputi :
-

Mengembangkan

wadah

untuk

melakukan

hubungan

informal

untuk

menumbuhkan hubungan formal.

-

Pusat penyebaran ke semua partisipan.

Pengkinian (update) data setiap bulan tentang perkembangan penanganan hukum.

7|A u d i t I n t e r n e t B a n k i n g

Program pertukaran pelatihan.

Membuat format website antar pelaku usaha kartu kredit.

Membuat pertemuan yang berkesinambungan antar penegak hukum.Melakukan

tukar menukar strategi tertentu dalam mencegah / mengantisipasi cybercrime di
masa depan.

Secara umum, dalam pengumpulan, menganalisis dan menafsirkan lingkungan

perbankan Internet, sebuah penelitian harus dibuat dari dokumentasi yang tersedia, seperti
peraturan Bank tentang Internet banking, hukum internet, hukum privasi, dokumentasi
sistem web perbankan dan penggunaan solusi internet banking.
Untuk mengidentifikasi masalah yang berkaitan dengan bidang perbankan Internet
yang telah dijelaskan sebelumnya dan yang mungkin memerlukan tindak lanjut, auditor
harus meninjau dokumen-dokumen berikut:
(1) Sebelumnya laporan pemeriksaan
(2) Tindak lanjut kegiatan
(3) makalah Kerja dari pemeriksaan sebelumnya
(4) internal dan laporan audit eksternal
Auditor sistem informasi harus memetakan proses-baik kunci otomatis serta petunjukyang berkaitan dengan Internet banking inisiatif / sistem.
Penilaian risiko bisnis inti harus mencakup evaluasi kritis dari tujuan Internet banking,
strategi dan model bisnis.
Maka auditor sistem informasi harus menilai probabilitas bahwa risiko yang
teridentifikasi berkaitan dengan proses ini (bisnis serta risiko sistem informasi) akan
terwujud bersama-sama dengan efek kemungkinan mereka, dan mendokumentasikan risiko
bersama dengan kontrol, yang mengurangi risiko ini.
Sebagai bagian dari penilaian risiko sistem informasi, ancaman sistem informasi
eksternal harus dievaluasi tergantung pada sifat produk yang ditawarkan oleh bank dan
ancaman eksternal yang harus ditangani. Ancaman ini termasuk penolakan layanan, akses
tidak sah ke data, penggunaan yang tidak sah dari peralatan komputer, yang bisa timbul
dari berbagai sumber seperti hacker kasual, pesaing, pemerintah asing, teroris atau
karyawan tidak puas.
Tergantung pada sifat dari pra atau pasca-pelaksanaan review, auditor harus menguji
proses yang signifikan dalam pengujian dan atau lingkungan produksi untuk memverifikasi
bahwa proses berfungsi sebagaimana dimaksud. Tes ini meliputi pengujian cek saldo,
8|A u d i t I n t e r n e t B a n k i n g

pengujian presentasi tagihan dan pembayaran dan menguji mekanisme keamanan

menggunakan pengujian penetrasi.
Dalam kajian pasca implementasi auditor harus memperoleh, setidaknya, pemahaman
tentang pemetaan jaringan, jaringan routing, sistem dan penilaian keamanan jaringan, dan
intrusi internal dan eksternal.
Sejak solusi internet banking didominasi solusi teknologi informasi, harus memenuhi
kriteria informasi yang didirikan pada COBIT, serta standar lain yang relevan atau peraturan
industri. Tingkat kepatuhan dengan kriteria informasi, standar dan / atau peraturan dan efek
ketidakpatuhan harus dianalisis.
7. Program Audit Internet Banking
Tujuan audit ini adalah:
1.

Untuk memperoleh pemahaman tentang garis bank Internet Banking produk, aliran
transaksi, dan proses penyelesaian.

2.

Untuk memastikan bahwa pengendalian internal yang memadai di tempat untuk

meminimalkan kesalahan, mencegah penipuan, dan memberikan jejak audit yang
memadai.

3.

Untuk menentukan apakah dewan direksi telah mengadopsi kebijakan yang efektif
untuk internet banking dan kebijakan dan prosedur ini sedang diikuti.

4.

Untuk menentukan apakah kontingensi dan bencana rencana yang memadai.

5.

Untuk menentukan apakah bank sesuai dengan ketentuan yang berlaku.

6.

Untuk menentukan apakah manajemen telah melembagakan kontrol yang sesuai

dengan jenis dan tingkat risiko yang timbul dari internet banking.

Prosedur Awal :
1.

Meminta daftar personil saat ini yang bekerja di Departemen Internet Banking,
termasuk tugas-tugas mereka.

2.

Meminta atau mempersiapkan sebuah Flowchart dan / atau narasi merinci sistem
Internet Banking.

3.

Meminta dokumentasi berikut sebelum audit :

-

Rangkuman dari rencana strategis.

ulasan Independent, penilaian, atau sertifikasi sistem dilakukan oleh konsultan

atau ahli teknologi dikontrak oleh bank. (Perhatikan setiap kekurangan yang luar
biasa.)

merincikan kegiatan Internet Banking Informasi yang dilakukan.

9|A u d i t I n t e r n e t B a n k i n g

4.

Detail mengenai keluhan khusus untuk Internet Banking.

laporan audit eksternal dan bahan terkait.

Rangkuman dari kebijakan dan prosedur operasi yang relevan.

Tentukan apakah vendor eksternal digunakan dan apa jasa atau produk yang
disediakan. Dokumen yang bertanggung jawab untuk pengembangan, operasi, dan /
atau dukungan dari sistem internet banking.

5.

Ulasan dokumentasi dan melakukan diskusi dengan manajemen untuk menentukan:

-

Bagaimana keamanan untuk Internet banking ditujukan.

Bagaimana manajemen mengawasi fungsi internet banking, termasuk fungsi

outsourcing.

Setiap perubahan signifikan dalam kebijakan, praktik, personil, atau sistem kontrol.

Setiap faktor internal atau eksternal yang dapat mempengaruhi area internet
banking.

6.

Memperoleh pemahaman tentang bisnis internet banking bank dan pengungkapan

dengan meninjau situs Web bank.

7.

Siapkan perbandingan saldo buku besar untuk semua akun buku besar yang
berhubungan dengan Internet Banking. Mendapatkan penjelasan untuk semua
perbedaan besar.

Sebelum Audit dan Laporan Pemeriksaan

1.

Review laporan audit sebelumnya dan item catatan untuk ditindaklanjuti selama audit
saat ini. Menentukan apakah manajemen telah mengambil tindakan yang tepat dan
tepat waktu untuk mengatasi kekurangan dicatat dalam laporan audit.

2.

Ulasan laporan pemeriksaan diterima sejak audit terakhir. Menentukan apakah

manajemen telah mengambil tindakan yang tepat dan tepat waktu untuk mengatasi
kekurangan mencatat.

Pelaksanaan
1.

Tentukan apakah dewan, atau komite yang sesuai, menyetujui sistem Internet
Banking berdasarkan rencana strategis yang ditulis dan analisis risiko.

2.

Tentukan apakah manajemen memberikan pelatihan yang memadai bagi seluruh

pejabat dan staf dipengaruhi oleh sistem perbankan elektronik, termasuk mereka yang
bertanggung jawab untuk produk, layanan, sistem informasi, kepatuhan, dan masalah
hukum. (Catatan: Program pelatihan harus terus menerus).

10 | A u d i t I n t e r n e t B a n k i n g

3.

Tentukan apakah manajemen memverifikasi akurasi dan isi software keuangan

perencanaan, kalkulator, dan program interaktif lainnya (antara bank dan nasabah)
yang tersedia melalui sistem.

Kebijakan dan Prosedur :

1.

Tentukan apakah bank telah menetapkan kebijakan atas link hypertext yang
memungkinkan konsumen untuk membedakan dengan jelas:
-

Tertanggung dan non-diasuransikan produk keuangan.

Bank dibandingkan produk non-bank.

2.

Ketika meninggalkan situs Web bank.

3.

Tentukan apakah kebijakan dan prosedur yang mengatur akses dan pengungkapan
informasi rahasia pelanggan diperbarui untuk kemampuan elektronik.
-

Menentukan apakah kebijakan alamat informasi apa yang dapat dibagikan dengan
pihak ketiga seperti perwakilan produk non-deposit, layanan diskon broker, dll

4.

Menentukan apakah pedoman yang berkaitan dengan informasi rahasia yang

dimasukkan sebagai bagian dari kontrak dan perjanjian meliputi pengaturan pihak
ketiga. Ulasan sampel pelanggan Internet Banking dan memastikan mereka hanya
diperbolehkan akses ke rekening yang mereka penandatangan yang berwenang.
-

rekening Komersial mungkin memiliki pengguna yang tidak penandatangan yang

berwenang. Namun, mereka harus disetujui oleh penandatangan yang berwenang
pada account.

5.

Tentukan berapa monitor kinerja manajemen sistem (misalnya, volume transaksi,

waktu respon, ketersediaan / downtime, laporan kapasitas, dan layanan pelanggan log
dan ringkasan keluhan.) FFIEC / FDIC berikut ini menyediakan berbagai metode untuk
melaporkan informasi ini; menentukan orang-orang yang akan sesuai untuk organisasi
ini dan detail metode di mana ditinjau.
-

Jumlah pengunjung ke website

Aset Pengguna informasi

Jumlah dan volume pinjaman Internet Banking baru per bulan

Jumlah dan volume total kredit Internet Banking pada akhir bulan

Volume total kredit luar daerah servis normal kita

Volume total simpanan luar daerah servis normal kita

Semua ancaman keamanan atau berulang kali mencoba akses yang tidak sah

Setiap waktu selama situs Internet Banking adalah non-operasional selama empat
jam atau lebih.
11 | A u d i t I n t e r n e t B a n k i n g

Kesimpulan Prosedur :
1.

Siapkan Rekaman Temuan Audit (Rafs) kelemahan daftar, kekurangan, pelanggaran,

dan masalah lainnya mencatat.

2.

Diskusikan temuan audit dan rekomendasi dengan manajemen.

3.

Siapkan laporan audit.

Langkah-langkah ini dilakukan oleh Internal Audit di antara ujian Pricewaterhouse ini.

Pricewaterhouse juga mengkaji bidang-bidang ini.

Catatan: Bagian berikut ditujukan oleh auditor eksternal selama pemeriksaan mereka:
Kebijakan, vendor Manajemen, Sandi, Firewall, Keamanan Fisik, Enkripsi, Deteksi Virus dan
Pencegahan, Kembalinya Bisnis dan Perencanaan Kontinjensi, Digital Signatures dan Otoritas
Sertifikat, Monitoring, Layanan Internet penyedia, dll.

12 | A u d i t I n t e r n e t B a n k i n g