Sumber Daya Manusia

Seiring dengan meningkatnya pemanfaatan TI dalam mendukung proses bisnis perusahaan, kebutuhan terhadap auditor TI semakin meningkat, terutama dalam proses pengelolaan risiko terkait dengan teknologi (misalnya, permasalahan security). Auditor TI sendiri dibutuhkan untuk memberikan rekomendasi penyempurnaan sistem dan juga reasonable assurance bahwa pengendalian internal terhadap suatu sistem TI efektif dalam mencapai sasaran dari sistem tersebut (dan, pada akhirnya, tujuan perusahaan).

Menurut Ron Weber, ”to be a good auditor, you have to be better at business than your client”. Jika ini dilihat sebagai suatu persyaratan bagi auditor TI yang baik, tentu dibutuhkan pengetahuan mendalam mengenai bagaimana proses bisnis Perusahaan benar-benar dapat ditunjang oleh praktik-praktik terbaik, apakah itu terkait dengan perencanaan, pengembangan, pelaksanaan maupun pengawasan TI-nya.

Kenyataannya, suatu tim penugasan atau suatu tim audit TI, melibatkan kalangan profesional yang berasal dari berbagai disiplin ilmu, yaitu Auditing, Pengendalian Internal dan Sistem Informasi serta Teknologi Informasi.

Organisasi

Information Systems Audit and Control Association (ISACA) berdiri secara formal sejak 1969. Pertama kali didirikan, ISACA merupakan asosiasi bagi para IS auditor dengan fungsi sebagai sumber informasi dan pihak yang memberikan panduan-panduan praktik bagi IS auditor. Namun, saat ini, keanggotaan ISACA telah mencapai 35,000 orang yang tersebar di 100 negara di seluruh dunia (di Indonesia terdapat 100 anggota).

Keanggotaannya sendiri mencakup berbagai macam lingkup profesi, di antaranya IS auditor, konsultan, akademisi, dan berbagai profesi lain yang terkait dengan TI. Keanekaragaman profesi ini, membuat para anggota dapat saling belajar di antara mereka masing-masing dan bertukar pengalaman mengenai profesinya masing-masing. Sejak lama, hal ini telah dipandang sebagai salah satu kekuatan ISACA di samping memiliki chapter di 60 negara yang dapat memberi kesempatan kepada para anggotanya untuk saling berbagi pengalaman, praktik dan pengetahuan, dan dengan demikian dapat menjadi wadah memperluas networking bagi para anggotanya.

Dalam tiga dekade terakhir, ISACA boleh dikata telah berkembang pesat. Hal ini ditandai dengan dijadikannya ISACA sebagai acuan praktik-praktik terbaik dalam hal audit, pengendalian dan keamanan sistem informasi oleh para profesional di seluruh dunia. Perkembangan ISACA ini juga ditandai dengan semakin meningkatnya jumlah anggota secara signifikan di beberapa negara.

Sertifikasi

Salah satu bentuk pengakuan mengenai keprofesionalan di kalangan para auditor TI adalah diperolehnya CISA (Certified Information System Auditor). Untuk mencapai itu seseorang harus sudah memenuhi persyaratan pengalaman praktik yang memadai dan lulus dalam ujian sertifikasi. Ujian ini dilaksanakan secara serempak di berbagai tempat yang sudah ditentukan (termasuk di Jakarta ) dengan pengawas asing dari pihak yang independen, yang ditunjuk ISACA headquarter.

Para penyandang CISA, memiliki nilai tambah tersendiri, antara lain adanya pengakuan global. Sejak 1978, gelar CISA telah diakui hampir di seluruh dunia sebagai suatu bentuk pencapaian prestasi tersendiri dan menunjukkan kualifikasi tertentu sebagai seorang auditor TI atau auditor SI (sistem informasi). Saat ini, lebih dari 30,000 profesional di seluruh dunia, telah berhasil meraih gelar ini ( Indonesia memiliki sekitar 40-an CISA). Perusahaan-Perusahaan mulai memberi credit point khusus bagi mereka yang berhasil meraih CISA.

Anggota ISACA dan juga penyandang CISA tunduk pada kode etik yang dikeluarkan ISACA. ISACA juga mengeluarkan Audit Standard khusus yang harus ditaati oleh para anggotanya. Pelanggaran atas kode etik dan ketidaksesuaian antara praktik dengan standar audit akan diinvestigasi oleh ISACA dan mendapatkan sangsi khusus, terutama bila terbukti adanya pelanggaran. IS

Cakupan audit & IT Governance

Cakupan Audit TI cukup luas, karena tidak terbatas pada aspek teknologinya saja, melainkan dapat mencakup aspek orang dan proses sistem informasi berbasis komputer. Begitu juga manfaatnya, antara lain kepastian (assurance) bagi manajemen bahwa suatu sistem (misalnya, Banking Applications, system ERP, e-Government, Network Communication, dll) akan dapat memenuhi harapan manajemen.

Karenanya, agar memberikan hasil audit TI yang memuaskan, maka tim audit TI harus memiliki pemahaman yang mendalam mengenai bisnis perusahaan yang diaudit dan juga wawasan yang luas tentang aspek governance dan kontrol suatu proses TI atau sistem informasi yang menjadi obyek pemeriksaannya. Pemahaman akan konsep IT Governance akan sangat membantu auditor TI dalam memberikan penekanan pemeriksaan pada aspek-aspek berikut:

1. Perencanaan dan manajemen proyek-proyek TI dan kaitannya dengan sasaran bisnis.
   
2. Manajemen risiko guna menghindari kesalahan fatal atas operasional TI, dan,
   
3. Pemanfaatan sumber daya TI yang optimal dan dapat dipertanggungjawabkan. Dengan begitu, seorang auditor TI dapat menjadi advisor yang "menyenangkan" bagi auditee (pihak yang diperiksa) karena kemampuannya memberikan practical value-added recommendation yang dapat membantu perusahaan mencapai tujuannya.

Kode Etik Profesional

The Information Systems Audit and Control Association (ISACA) mengeluarkan kode etik professional (Code of Professional Ethics) untuk dijadikan panduan perilaku bagi para personal maupun professional anggota asosiasi dan atau para penyandang sertifikasi, yaitu:

Anggota dan para penyandang sertifikasi ISACA, harus:

1. Mendukung penerapan, dan mendorong kesesuaian dengan, standar, prosedur dan pengendalian sistem informasi yang tepat.
   
2. Melakukan tugas-tugas mereka secara sungguh-sungguh (due diligence) dan profesional, sesuai dengan standar-standar professional dan praktik terbaik (best practices).
   
3. Memenuhi kebutuhan para stakeholders dengan secara jujur dan memenuhi aturan/hokum, sambil menjaga tindakan dan perilaku, dan tidak terlibat dalam tindakan-tindakan yang merugikan profesi.
   
4. Tetap menjaga privasi dan kerahasiaan informasi yang diperoleh selama melakukan tugas-tugas mereka, kecuali hal itu diminta oleh pihak yang berwajib (legal authority). Informasi semacam itu tak boleh digunakan untuk keuntungan pribadi atau diberikan kepada pihak yang tidak berkompeten.
   
5. Tetap menjaga kompetensi di bidang masing-masing dan bersedia hanya melakukan kegiatan tersebut, yang dapat mereka harapkan untuk diselesaikan dengan kompetensi profesional.
   
6. Memberitahu para pihak yang berkompeten mengenai hasil kerja yang dilakukan; memberitahu semua fakta nyata kepada mereka.
   
7. Mendukung edukasi professional kepada para stakeholder dalam upaya meningkatkan pemahaman mereka mengenai keamanan dan pengendalian sistem informasi.
   
8. Gagal dalam memenuhi Kode Etik Profesional ini akan berakibat dilakukannya investigasi terhadap perilaku anggota dan pemegang sertifikasi dan, setinggi-tingginya, akan mendapatkan tindakan indisipliner.

Foto-foto: Muflihun