Kemarin dan hari ini saya menemani Pak Budi Rahardjo untuk suatu Workshop IT di Preanger, Bandung. Ketika sedang membahas berbagai standar security di lingkungan IT, ada satu pertanyaan yang menarik:
Bagaimana mengatasi standar yang berbeda antara pelaksana IT dengan Auditor IT, sehingga kami (pelaksana IT), cenderung selalu salah karena banyak temuan dalam pelaksanaan IT?
Akhirnya menjadi diskusi yang ramai dan mengarah pada suatu kesimpulan seperti ini
Pertama, fungsi atau misi seorang auditor harus didefinisikan ulang, bukan untuk mencari-cari kesalahan pelaku, tapi menemukan kelemahan sistem, memahami penyebabnya, dan turut memikirkan solusinya dalam bentuk rekomendasi-rekomendasi perbaikan sistem.
Kedua, cara mengukur prestasi auditor bukan dari banyaknya temuan (saja), tapi dari kualitas pemahaman “temuan”, pemahaman penyebabnya, juga kualitas rekomendasi-rekomendasinya. Bahkan seorang auditor yang dengan yakin menjamin bahwa sistem yang di-audit-nya sangat baik (tak ada temuan), tapi didukung laporan yang sangat teliti dan sistematis, maka auditor itu harus dianggap berprestasi!
Ketiga, harus ada standar (acuan) yang disepakati bersama antara pelaku IT dan auditor IT. Jangan kucing-kucingan. Kebanyakan, auditor menggunakan standar tertentu yang dirahasiakan kepada pelaku IT, supaya banyak temuan dan dianggap berprestasi. Ini terkait dengan yang kedua. Salah satu peserta dari Krakatau Steel manyampaikan bahwa di KS sudah ada standar yang disebut standar KS.
Mari kita renungkan kembali, apa sebenarnya tujuan Audit IT? Tentunya untuk meyakinkan bahwa manajemen IT sudah dijalankan dengan benar untuk kepentingan perusahaan. Nah kalau hasil Audit mengatakan sudah baik, mengapa harus mencari-cari lagi kesalahan? Bukankah tujuan kita sudah tercapai?
Semoga bermanfaat!
Arry Akhmad Arman's Weblog 
Yang cukup menarik menurut saya adalah komentar salah satu peserta tentang pemakaian istilah OFI (opportunity (-ies?) for improvement) sebagai pengganti ‘temuan’ yang membalik 180 derajat kesan negatif menjadi positif
Kalau saya mengggunakan “incident” atau “vulnerability” sebagai “kondisi yang tak memuaskan”. Ini sebagai “ujung utama”, dan terus kita cari necessary causal factor (NCF) yg menyebabkan hal ini. Dari identifikasi NCF ini, kita bisa turungkan countermeasurement yg dapat diterapkan. Begitu lah kira-kira.
Kalau dalam Fault Tree kan “fault” sebagai ujung teratas, dan dirunut pre-condition dan post-condition-nya.
Pak Arry, sampai sekarang saya masih bingung ttg IT auditor dalam proses UAT (user Acceptance test). Sebetulnya IT auditor WAJIB atau tidak dalam proses UAT? Posisi nya bagaiamana?
Terimakasih
selamat pagi pak,
pak saya sedang ikut tes di suatu perusahaan dan sekarang mau menghadapi tes bidang IT. basic saya dulu teknik elektro. Dalam basic saya elektronya masih umum, belum ada penjurusan. Jadi saya menganggap kemampuan di bidang IT saya masih kurang. saya punya prinsip tidak ada kata tidak bisa kalau kita belajar. Untuk itu saya ada beberapa pertanyaan supaya saya bisa lolos dalam tes tersebut
1. Persiapan apa saja yang harus saya lakukan untuk menghadapi tes bidang IT tersebut?
2. Apa saja yang harus saya lebih pedalami materi untuk menghadapi tes itu?
3. Menurut pengalaman bapak kira-kira tentang apa saja nanti materi yang diteskan?
4. Gambaran bekerja sebagai Auditor IT itu apa saja yang dilakukan?
Mohon petunjuknya pak, biar saya nanti bisa lolos tesnya!
Kalau boleh tau apa YM bpk?
terima kasih sebelumnya!
Pak Andika,
Apa kabar Pak, masih ingat sama saya ? 🙂
Istilah OFI itu sendiri apa Pak Yach ?