 |
| Isnaeni Achdiat, senior manager, information system assurance & advisory services, Ernst&Young |
Untuk mengetahui lebih lanjut mengenai audit TI dan bagaimana melakukannya, eBizzAsia mewawancarai Isnaeni Achdiat, auditor TI dari Ernst & Young, yang memiliki pengalaman luas dalam melakukan audit TI. Berikut petikan wawancaranya.
Pentingnya audit TI
Kepentingannya, sebenarnya, harus sejalan dengan tujuan perusahaan. Meski kedengarannya agak teoritis, tetapi sebenarnya harus begitu. Tak heran, kalau auditor harus benar-benar memahami apa yang menjadi tujuan perusahaan.Mereka harus juga mampu melihat bagaimana perusahaan dapat mengelola risiko, misalnya agar tidak terlalu overload, terlalu agresif, terlalu ekspansif, melainkan harus bisa melakukan pengendalian.
Dengan begitu, audit TI itu artinya bagaimana kita mengelola risiko-risiko yang ada dalam penerapan TI. Misalnya, tiba-tiba kapasitas berkurang dan sistem macet, atau mengalami gangguan akibat virus komputer.
Karenanya, auditor TI selain harus memiliki pemahaman yang luas mengenai risiko-risiko TI, juga memiliki pola pendekatan atau framework untuk memahami risiko itu agar tak terjadi perbedaan persepsi dalam memahami risiko.
Payung Hukum
Saya pribadi merasakan perlunya payung hukum, sehingga nantinya akan jelas perlunya pertanggungjawaban terhadap hasil audit yang dilakukan. Tetapi, kalau hanya sampai pada rekomendasi, agar sistem TI-nya dapat dinilai layak dijalankan, dan perusahaan berkesempatan membenahi dirinya agar dapat lebih baik, itu bisa saja dilakukan.
Namun, kalau sudah sampai masalah perlunya pertanggungjawaban publik, maka hal itu perlu suatu payung hukum yang jelas, karena hal itu tak hanya berhenti di rekomendasi, melainkan sudah ada pendapat atau opinion.
Misalnya audit TI dilakukan terhadap suatu bank, yang biasanya diikuti dengan penyampaian penilaian itu ke publik. Di Amerika contohnya, jika dilakukan audit TI terhadap suatu perusahaan, maka ada kewajiban hukum untuk memnyampaikan penilaian itu kepada publik, yang dalam hal ini adalah para pengguna jasa, nasabah, sehingga mereka mengetahui bagaimana penilaian terhadap sistem TI perusahaan yang terkait dengan mereka.
Kapan perlu diaudit
Sebaiknya audit TI itu dilakukan di awal, bukan setelah sistemnya berjalan. Kalau sudah berjalan, selain mungkin saja ada penolakan, mengauditnya pun tidak mudah, karena bisnis yang dilakukan kan tetap harus berjalan. Jika di awal, misalnya sejak perencanaan dan pengembangan sistem, maka sejak dini pula akan diketahui apakah sistem TI yang dibangun sudah pas, sudah layak untuk menjalankan aplikasi-aplikasi yang diinginkan, yang itu semua dalam upaya perusahaan mencapai tujuannya. Dan, perusahaan dapat mengambil tindakan yang diperlukan sebelumnya sistem TI-nya benar-benar dijalankan.
Audit TI sebenarnya dapat dilakukan pihak internal (bagian TI). Tetapi, jika yang dibutuhkan adalah opini dari pihak ketiga, misalnya karena diperlukannya clearance mengenai suatu sistem TI, atau mendapatkan kepercayaan yang nantinya akan terkait dengan publik, pelanggan dll, maka auditor TI independenlah yang diundang untuk melakukannya.
Opini
Auditor TI biasanya diminta mengenai tingkat kesiapan sistem dan dalam tingkat kesiapan sistem itu ada sejumlah kiteria, bukan judgment, melainkan cakupan yang harus dilakukan oleh seorang auditor.
Selain tingkat kesiapan, penilaiannya bisa juga apakah sistem TI-nya maturity atau tidak. Untuk mencapai tingkat maturity, tentu ada jangka waktu, kesiapan dan orang yang terlibat, tak berdiri sendiri, melainkan saling terkait.
Auditor TI setidaknya diminta untuk memberikan dua hal, yaitu memberi rekomendasi mengenai siap atau tidak siapnya suatu sistem TI. Dengan kata lain memberikan assurance. Sedang yang bertanggungjawab tetap si pengelola sistem, bukan sebaliknya auditor. Jadi, auditor memberikan assurance mengenai sistem TI yang dibangun, bukan malah beralih tanggungjawab dari si pengelola sistem ke auditor. Kalau pun auditor memberikan judgment, itu pun berdasarkan kriteria-kriteria yang sudah disepakati.
Jadi, jangan sampai, kalau sebelumnya auditor TI memberikan jasa assurance, malah kemudian beralih menjadi insurance.
Foto-foto: Muflihun
|
