Re-definisi Fungsi dan Ukuran Prestasi Auditor IT

Kemarin dan hari ini saya menemani Pak Budi Rahardjo untuk suatu Workshop IT di Preanger, Bandung. Ketika sedang membahas berbagai standar security di lingkungan IT, ada satu pertanyaan yang menarik:

Bagaimana mengatasi standar yang berbeda antara pelaksana IT dengan Auditor IT, sehingga kami (pelaksana IT), cenderung selalu salah karena banyak temuan dalam pelaksanaan IT?

Akhirnya menjadi diskusi yang ramai dan mengarah pada suatu kesimpulan seperti ini

Pertama, fungsi atau misi seorang auditor harus didefinisikan ulang, bukan untuk mencari-cari kesalahan pelaku, tapi menemukan kelemahan sistem, memahami penyebabnya, dan turut memikirkan solusinya dalam bentuk rekomendasi-rekomendasi perbaikan sistem.

Kedua, cara mengukur prestasi auditor bukan dari banyaknya temuan (saja), tapi dari kualitas pemahaman “temuan”, pemahaman penyebabnya, juga kualitas rekomendasi-rekomendasinya. Bahkan seorang auditor yang dengan yakin menjamin bahwa sistem yang di-audit-nya sangat baik (tak ada temuan), tapi didukung laporan yang sangat teliti dan sistematis, maka auditor itu harus dianggap berprestasi!

Ketiga, harus ada standar (acuan) yang disepakati bersama antara pelaku IT dan auditor IT. Jangan kucing-kucingan. Kebanyakan, auditor menggunakan standar tertentu yang dirahasiakan kepada pelaku IT, supaya banyak temuan dan dianggap berprestasi. Ini terkait dengan yang kedua. Salah satu peserta dari Krakatau Steel manyampaikan bahwa di KS sudah ada standar yang disebut standar KS.

Mari kita renungkan kembali, apa sebenarnya tujuan Audit IT? Tentunya untuk meyakinkan bahwa manajemen IT sudah dijalankan dengan benar untuk kepentingan perusahaan. Nah kalau hasil Audit mengatakan sudah baik, mengapa harus mencari-cari lagi kesalahan? Bukankah tujuan kita sudah tercapai?

Semoga bermanfaat!

Iklan

5 thoughts on “Re-definisi Fungsi dan Ukuran Prestasi Auditor IT

  1. Yang cukup menarik menurut saya adalah komentar salah satu peserta tentang pemakaian istilah OFI (opportunity (-ies?) for improvement) sebagai pengganti ‘temuan’ yang membalik 180 derajat kesan negatif menjadi positif

  2. Kalau saya mengggunakan “incident” atau “vulnerability” sebagai “kondisi yang tak memuaskan”. Ini sebagai “ujung utama”, dan terus kita cari necessary causal factor (NCF) yg menyebabkan hal ini. Dari identifikasi NCF ini, kita bisa turungkan countermeasurement yg dapat diterapkan. Begitu lah kira-kira.

    Kalau dalam Fault Tree kan “fault” sebagai ujung teratas, dan dirunut pre-condition dan post-condition-nya.

  3. Pak Arry, sampai sekarang saya masih bingung ttg IT auditor dalam proses UAT (user Acceptance test). Sebetulnya IT auditor WAJIB atau tidak dalam proses UAT? Posisi nya bagaiamana?

    Terimakasih

  4. selamat pagi pak,

    pak saya sedang ikut tes di suatu perusahaan dan sekarang mau menghadapi tes bidang IT. basic saya dulu teknik elektro. Dalam basic saya elektronya masih umum, belum ada penjurusan. Jadi saya menganggap kemampuan di bidang IT saya masih kurang. saya punya prinsip tidak ada kata tidak bisa kalau kita belajar. Untuk itu saya ada beberapa pertanyaan supaya saya bisa lolos dalam tes tersebut

    1. Persiapan apa saja yang harus saya lakukan untuk menghadapi tes bidang IT tersebut?
    2. Apa saja yang harus saya lebih pedalami materi untuk menghadapi tes itu?
    3. Menurut pengalaman bapak kira-kira tentang apa saja nanti materi yang diteskan?
    4. Gambaran bekerja sebagai Auditor IT itu apa saja yang dilakukan?

    Mohon petunjuknya pak, biar saya nanti bisa lolos tesnya!
    Kalau boleh tau apa YM bpk?
    terima kasih sebelumnya!

Tinggalkan Balasan

Isikan data di bawah atau klik salah satu ikon untuk log in:

Logo WordPress.com

You are commenting using your WordPress.com account. Logout / Ubah )

Gambar Twitter

You are commenting using your Twitter account. Logout / Ubah )

Foto Facebook

You are commenting using your Facebook account. Logout / Ubah )

Foto Google+

You are commenting using your Google+ account. Logout / Ubah )

Connecting to %s