WAKOOL.ID — Tidak jarang saya menemukan atau mendapatkan curhat dari beberapa klien saya terkait dengan cara Auditor mereka bekerja. Diantara keluh kesah yang paling sering terjadi adalah bagaimana Auditor memberikan pertanyaan dan ceklis yang begitu banyak untuk dijawab oleh Auditee. Celakanya lagi diantara yang banyak itu tidak semuanya relevan dengan kondisi dan kebutuhan perusahaan. Bahasa dan istilah yang digunakan juga seringkali sulit dipahami oleh awam. Setelah dilihat lebih jauh ternyata para Auditor ini mengadopsi mentah-mentah standard-standard yang bersifat generik global, seperti COBIT, IIA, ISO, atau standard/sumber lain yang bersifat generik. Seharusnya standard dan sumber-sumber referensi tersebut mesti disesuaikan dengan kebutuhan perusahaan dan penugasan audit yang terkait. Praktik seperti ini biasanya dilakukan oleh auditor yang lebih banyak bermodal teori namun minim pengalaman dalam audit maupun dunia TI. Tak jarang auditor tersebut berasal dari perusahaan multi nasional dengan nama yang mentereng.

Pentingnya Perencanaan Audit

Hal ini menunjukkan pentingnya tahapan perencanaan audit yang didalamnya terdapat aktifitas penting yaitu penyusunan Program Audit. Sejumlah organisasi seperti ISACA, IIA, dan organisasi lainnya telah menyusun panduan program audit untuk berbagai keperluan. Panduan-panduan tersebut memang akan sangat membantu menghemat waktu dan sumber daya serta memberikan insight tentang hal-hal penting yang perlu diperhatikan dalam melakukan suatu penugasan audit tertentu. Tapi perlu diingat panduan-panduan tersebut bukan seperti baju ukuran all size yang bisa langsung digunakan oleh siapapun. They are not one size fits all. Panduan tersebut mesti diperlakukan sebagai acuan awal untuk kemudian disesuaikan dengan faktor-faktor risiko dan kriteria yang relevan dengan organisasi yang kita audit. Ketika seorang auditor gagal melakukan ini, maka audit yang dilakukan berisiko menghasilkan rekomendasi-rekomendasi yang tidak relevan atau tidak dapat diterapkan pada organisasi auditee. Pada gilirannya hal ini akan berdampak pada reputasi dari auditor di mata auditee.

Menyusun Program Audit

Secara garis besar, menyusun program audit itu terdiri atas langkah-langkah berikut:

1. Tentukan subyek audit – apa yang akan kita audit? Misal: fungsi bisnis A, sistem B, lokasi C, dll.
2. Tentukan obyektif audit – mengapa kita mengaudit? Apa tujuan yang diharapkan dari audit yang akan dilakukan?
3. Tentukan lingkup audit – apa batasan-batasan dari audit yang akan kita lakukan? Untuk memperjelas lingkup dari tujuan audit yang telah ditetapkan sebelumnya. Misalnya jika obyektif audit adalah mengevaluasi integritas data keuangan, maka pada lingkup ini perlu diperjelas sistem mana saja yang akan perlu dievaluasi, unit kerja mana saja yang terkait, lokasi mana saja yang perlu dilihat, dst.
4. Lakukan perencanaan pra-audit – apa faktor-faktor risiko yang terdapat dalam lingkup audit yang akan dilakukan? Disini perlu dilakukan asesmen risiko yang akan dapat memperjelas lingkup dari audit yang akan dilakukan. Disini juga dapat dilakukan wawancara awal dengan auditee untuk mengkonfirmasi area-area penting yang menjadi concern mereka, tuntutan kepatuhan, dll. Sehingga akan memperjelas lingkup audit dan memudahkan perencanaan alokasi sumber daya untuk pelaksanaan audit.
5. Tentukan prosedur audit dan langkah-langkah untuk pengumpulan data – bagaimana kita akan mengevaluasi kontrol yang diterapkan untuk risiko-risiko yang ada?

Komponen yang sangat penting pada langkah ke-5 diatas adalah bagaimana menentukan kriteria untuk melakukan evaluasi kontrol-kontrol yang ada. Kriteria inilah yang akan menjadi standard dan pembanding dalam mengukur kondisi yang diaudit. Sebagian diantaranya mungkin bersumber dari organisasi auditee sendiri, seperti misalnya kontrak-kontrak, SLA, kebijakan-kebijakan dan standard yang berlaku, dsb. Tapi tidak jarang juga terjadi organisasi auditee itu tidak punya standard yang dapat diacu. Lalu bagaimana menentukan kriterianya?

Pada kondisi seperti ini, maka sumber-sumber referensi eksternal menjadi penting. Misalnya mengenai bagaimana seharusnya tata kelola TI diterapkan, kita dapat mengambil referensi COBIT. Mengenai bagaimana seharusnya manajemen keamanan informasi yang komprehensif, kita dapat mengambil referensi ISO 27001/27002. Mengenai bagaimana seharusnya manajemen layanan TI, kita dapat mengambil referensi ITIL. Dan seterusnya kita dapat mengambil referensi dari standard, jurnal, hasil penelitian, dan lain-lain yang relevan. Namun tentu saja lagi-lagi perlu disesuaikan dengan kondisi dan kebutuhan organisasi auditee. Sehingga kita tidak menggunakan kriteria untuk rumah mewah sebagai pembanding rumah sederhana.

Sehingga kemudian tersusunlah program audit yang berisi prosedur dan langkah-langkah yang harus dilakukan oleh Auditor dalam melakukan audit. Peran program audit ini sangat penting agar supaya prosedur yang dilakukan oleh masing-masing anggota tim Auditor itu ada standardnya. Selain itu, setiap hasil temuan, analisis dan rekomendasinya dapat dirunut sampai dengan langkah-langkah yang dilakukan hingga sampai pada suatu kesimpulan. Langkah-langkah tersebut pun dapat diulang oleh orang lain untuk memastikan kebenaran dari hasil audit yang dilakukan.

Program Audit: Share atau Tidak?

Oleh karena itu kualitas program audit akan menentukan kualitas dan keterpercayaan hasil audit. Ian Cooke dalam salah satu tulisannya di Jurnal ISACA beberapa waktu yang lalu menekankan pentingnya kolaborasi dalam penyusunan program audit ini. Sebagaimana halnya pembuat software open source membuka source dari programnya kepada publik untuk dapat memungkinkan pengembangan dan penyempurnaan sistem tersebut lebih lanjut. Maka mengapa program audit tidak diperlakukan sama seperti itu. Mengapa program audit yang dibuat oleh seorang auditor  tidak di-share saja ke publik sehingga selain dapat dimanfaatkan oleh lebih banyak pihak, juga dapat disempurnakan lebih lanjut sehingga manfaatnya pun akan dirasakan oleh yang men-share pertama kali dan para pihak yang ikut berkolaborasi menyempurnakannya. Toh, program audit tersebut ketika akan digunakan tetap mesti disesuaikan lebih lanjut dengan konteks organisasi dan penugasan spesifik audit yang akan dilakukan. Diskusi seputar wacana ini saya kira akan berlanjut seperti diskusi antara pilihan untuk membuat sistem sebagai proprietary atau open source. Masing-masing memiliki manfaat dan risikonya tersendiri. Pilihan ada di tangan masing-masing kita. [wkid/picture:sleekr]

Penulis: Umar Alhabsyi, ST, MT, CISA, CRISC