 |
| Gatut Dwi Prihartoyo, Chief IT Auditor BRI |
Bagian audit TI di Bank Rakyat Indonesia (Bank BRI) ini lebih diposisikan sebagai strategic partner bagi pengguna teknologi informasi (TI) BRI, apakah itu di cabang utama atau cabang pembantu, serta di kantor pusat tentunya. Dengan begitu, kami ingin bersama-sama dengan mereka mengembangkan penerapan TI di BRI dan sekaligus membantu dengan solusi-solusi yang mereka butuhkan. Dan kami tak berpretensi menjadi pengawas dari setiap kegiatan mereka.
Memang, kalau mengikuti ISACA, yang berbasis pada konsep baku internasional, sebenarnya ada keterlibatan auditor TI dalam perencanaan pengembangan sistem TI. Namun, hal itu di sini masih terjadi perdebatan, terutama apakah auditor yang terlibat itu nantinya bisa independen, tidak mengalami conflict of interest. Karena, selain auditor ikut dalam perencanaan, nantinya dalam evaluasi berikutnya auditor juga ikut melakukan penilaian dan evaluasi (audit). Bisa jadi, auditee-nya malah bertanya, “Bukankah auditor juga ikut dalam perencanaan?”.
Dalam pelaksanaannya, karena begitu luasnya penerapan TI di BRI, evaluasi memang dilakukan tidak menyeluruh, melainkan menggunakan sample, sehingga ada saja kemungkinan, meski telah dilakukan audit, ada sistem yang mengalami down misalnya. Itu dalam audit ada yang disebut dengan audit risk (risiko-risiko audit).
Selain itu, dalam melakukan audit ini kami lebih berbasis risiko. Artinya, mana-mana unit kerja yang dianggap memiliki tingkat risiko yang tinggi, maka unit tersebut akan mendapatkan frekuensi evaluasi yang lebih sering. Berdasarkan ketentuan Bank Indonesia , setidaknya setiap unit kerja harus dilakukan audit setiap 18 bulan sekali. Sedang yang risikonya lebih tinggi, tentunya lebih sering lagi. Kalau di BRI, hal itu sangat mungkin dilakukan dalam setahun lebih dari satu kali, jika dinilai risikonya sangat tinggi. Tetapi, ada juga satu unit kerja yang dalam satu tahun tidak diaudit.
Dalam melaksanakan audit, BRI dengan sistem TI yang terpusat sekarang ini, memiliki tim di tingkat pusat dan dibantu kantor inspeksi di wilayah-wilayah. Setiap tahun kami memiliki forum komunikasi audit interen, dimana masing-masing wilayah membuat rencana tahunannya. Mereka akan memaparkan apa saja risiko yang mungkin dan unit-unit mana yang butuh diperhatikan lebih banyak, karena dinilai risikonya cukup tinggi. Kemudian, hasil audit internal itu disampaikan dalam bentuk laporan triwulan, yang nantinya akan diselaraskan dengan standar kualitas yang ada.
Sedang, pola audit yang dilakukan lebih intensif, baik itu dilakukan sebelum maupun setelah penerapan TI. Misalnya, kami melakukan audit terhadap rencana tahunan, dan juga realisasi dari rencana tahunan tersebut. Kalau dalam pengembangan, ya mulai dari pembuatan desain, programming hingga testing. Begitu juga, nantinya setelah rencana itu dimplementasikan, semuanya juga akan diaudit. Setelah dgunakan, sistem TI itu pun secara berkala akan diaudit. Ini tentunya demi kepentingan dan keberhasilan BRI.
Foto-foto: Muflihun
|
