Kemarin dan hari ini saya menemani Pak Budi Rahardjo untuk suatu Workshop IT di Preanger, Bandung. Ketika sedang membahas berbagai standar security di lingkungan IT, ada satu pertanyaan yang menarik:
Bagaimana mengatasi standar yang berbeda antara pelaksana IT dengan Auditor IT, sehingga kami (pelaksana IT), cenderung selalu salah karena banyak temuan dalam pelaksanaan IT?
Akhirnya menjadi diskusi yang ramai dan mengarah pada suatu kesimpulan seperti ini
Pertama, fungsi atau misi seorang auditor harus didefinisikan ulang, bukan untuk mencari-cari kesalahan pelaku, tapi menemukan kelemahan sistem, memahami penyebabnya, dan turut memikirkan solusinya dalam bentuk rekomendasi-rekomendasi perbaikan sistem.
Kedua, cara mengukur prestasi auditor bukan dari banyaknya temuan (saja), tapi dari kualitas pemahaman “temuan”, pemahaman penyebabnya, juga kualitas rekomendasi-rekomendasinya. Bahkan seorang auditor yang dengan yakin menjamin bahwa sistem yang di-audit-nya sangat baik (tak ada temuan), tapi didukung laporan yang sangat teliti dan sistematis, maka auditor itu harus dianggap berprestasi!
Ketiga, harus ada standar (acuan) yang disepakati bersama antara pelaku IT dan auditor IT. Jangan kucing-kucingan. Kebanyakan, auditor menggunakan standar tertentu yang dirahasiakan kepada pelaku IT, supaya banyak temuan dan dianggap berprestasi. Ini terkait dengan yang kedua. Salah satu peserta dari Krakatau Steel manyampaikan bahwa di KS sudah ada standar yang disebut standar KS.
Mari kita renungkan kembali, apa sebenarnya tujuan Audit IT? Tentunya untuk meyakinkan bahwa manajemen IT sudah dijalankan dengan benar untuk kepentingan perusahaan. Nah kalau hasil Audit mengatakan sudah baik, mengapa harus mencari-cari lagi kesalahan? Bukankah tujuan kita sudah tercapai?
Semoga bermanfaat!
Arry Akhmad Arman's Weblog 