Selama ini, kalau berbicara audit selalu terasosiasi secara langsung ke audit keuangan. Karenanya, ketika muncul isu Sistem Informasi Komisi Pemilihan Umum (SI-KPU) diminta untuk diaudit, karena dinilai lambat dan tidak efektif dalam penghitungan suara pemilih Pemilu 2004, asosiasi itupun muncul. SI-KPU harus segera diaudit. Kalangan pakar dan praktisi menyuarakan harus dilakukannya audit, tetapi yang dimaksud lebih pada audit sistem informasi (audit TI), sedang kalangan partai lebih melihat audit sebagaimana audit keuangan.
Permintaan auditnya sama, tetapi penekanannya berbeda, antara mengaudit kesiapan dan kehandalan sistem informasi yang merujuk pada rencana, desain dan tujuan penerapannya, dengan audit pengadaan sistem informasi, yang lebih melihat pada aspek nilai pentingnya TI dalam proses pengitungan suara dan bagaimana pengadaannya, apakah sesuai dengan rencana dan spesifikasi semula.
Kontroversi mengenai audit tersebut memunculkan banyak pertanyaan yang tak sepenuhnya terjawab. Belum lagi, kalau yang dipersoalkan adalah payung hukum yang memungkinkan dilakukannya audit, karena hal itu terkait dengan pertanggungjawaban ke publik. Pada saat yang sama, muncul dugaan kekisruhan tersebut malah akan semakin mendorong ketidakpercayaan masyarakat terhadap arti pentingnya teknologi informasi (TI), bukan saja dalam proses penghitungan suara Pemilu, melainkan juga dalam banyak aspek penerapannya di masyarakat, misalnya eCommerce, eGovernment dan sebagainya.
Kalangan praktisi melihat bahwa audit TI sangat perlu dilakukan, karena dengan begitu akan semakin jelas dan terbuka masalah-masalah apa yang sebenarnya dihadapi, khususnya SI-KPU, sehingga menyebabkan lambannya proses penghitungan suara berbasis TI tersebut. Clearance semacam ini sangat diperlukan, bukan saja dari sisi pengadaannya, melainkan terutama dari sistem informasinya, yang menyangkut banyak aspek, baik teknologi (piranti keras dan piranti lunak, PC, sistem jaringan dan lainnya) maupun sumberdaya manusia yang mengoperasikannya, serta sistem yang terkait dengan kelancaran proses penghitungan suara tersebut.
Sebagaimana penerapan TI di lingkungan perusahaan, SI-KPU juga mencakup jaringan yang luas, didukung oleh ribuan tenaga operator, yang mungkin tidak semuanya siap mengoperasikan PC dan sistem penghitungan suara, sehingga sejak awal mestinya telah memperhitungkan berbagai risiko yang bakal dihadapi, termasuk jaringan dan kemampuan transfer datanya.
Seperti diungkapkan oleh Isnaeni Achdiat, Senior Manager, Information System Assurance and Advisory Services, Ernst & Young, bahwa pelaksanaan audit TI sebenarnya lebih pada bagaimana kita mengelola risiko-risiko yang mungkin muncul dari suatu penerapan TI. Artinya, risikonya ada, tetapi bagaimana risiko itu disadari, tentunya dengan didukung oleh sistem TI yang secara nyata siap dijalankan, sehingga risiko dapat dikelola dengan baik, misalnya diantisipasi, dicarikan jalan alternatifnya jika terjadi sesuatu.
Di sisi lain, suatu sistem TI, tak hanya terkait dengan aspek teknologinya saja, melainkan lebih luas dari itu. Aspek sumberdaya manusia yang mengoperasikan, hal-hal pendukung lainnya, yang secara langsung akan terkait dengan keberhasilan sistem TI dalam mencapai tujuan penerapannya, merupakan bagian dari sistem yang harus diperhitungkan dengan baik sejak awal penerapannya. Karena, keberhasilan suatu sistem, mestinya dilihat dari tujuan-tujuan yang ingin dicapai melalui penerapan TI, sehingga tidak dapat memisahkan bahwa keberhasilan sistem TI hanya dilihat semata-mata dari aspek teknologinya, melainkan keseluruhan yang membentuk sistem itu.
Pelaksanaan audit TI itu sendiri sebenarnya sudah banyak dilakukan di lingkungan perusahaan, terutama yang menyadari arti pentingnya penerapan TI bagi pencapaian tujuan-tujuan bisnis perusahaan. Meski, sebagaimana diakui oleh Yulnofrins Napilus, Assistant to President Director PT Tiga Raksa, masih banyak perusahaan yang kebijakan dan tujuan-tujuan penerapan TI-nya tidak begitu jelas. Di tambah lagi, masih banyak juga yang beranggapan bahwa nilai investasi TI yang ditanamkan belum cukup berarti dibandingkan nilai keuangan perusahaan. Yang ujungnya, mereka belum berpikir perlunya dilakukan audit TI.
Padahal, kepentingan audit TI bukan sekedar melakukan penilaian dan evaluasi, melainkan sebenarnya sejalan dengan tujuan perusahaan. Yakni, bagaimana dengan dilakukannya audit TI, perusahaan dapat terbantu dalam mencapai tujuan-tujuan bisnisnya. Artinya, bagaimana perusahaan dapat mengelola risiko, misalnya saja agar tidak terlalu overload, terlalu agresif, atau terlalu ekspansif. Sebaliknya, dengan audit TI perusahaan dapat internal control.
Memang, penolakan terhadap dilakukannya audit TI, misalnya sebagaimana terjadi di beberapa perusahaan, meski penerapan TI-nya sudah cukup meluas dan intensif, tidak serta merta berarti negatif. Karena yang dimaksud lebih pada audit TI yang dilakukan pihak ketiga, misalnya auditor TI eksternal. Hal itu, bisa jadi karena tingginya tingkat kepercayaan perusahaan terhadap kemampuan bagian TI dalam melakukan kontrol internal. Apalagi, kalau selama ini belum pernah ada masalah serius yang terjadi terhadap sistem TI mereka, misalnya mengalami crash, terkena gangguan virus, hilangnya file, hingga dijebolnya sistem oleh para hackers.
Audit TI sendiri, sebenarnya bukan semata-mata melakukan penilaian atau evaluasi terhadap sistem yang telah berjalan, yang ketika mengalami masalah, baru kemudian dirasakan perlunya melakukan audit. Itu sebabnya, seperti diakui oleh Isnaeni, auditor TI yang memiliki penglaman cukup lama, sebaiknya audit TI dilakukan sebelum suatu sistem TI dijalankan. Mengapa? Karena, dengan begitu penarapan TI dapat dilihat dari kesesuaiannya dengan rencana dan upaya pencapaian tujuan-tujuan perusahaan, dan pada saat yang sama, dapat diketahui apakah sistem telah siap dan mampu memenuhi harapan itu.
Berbeda halnya, jika audit TI dilakukan setelah sistem TI berjalan. Karena, selain mungkin saja ada penolakan, mengauditnya pun tidak mudah, karena bisnis yang dilakukan kan harus tetap berjalan, tambah Isnaeni. Jika di awal, misalnya sejak perencanaan dan pengembangan sistem, maka sejak dini pula akan diketahui apakah sistem TI yang dibangun sudah pas, sudah layak untuk menjalankan aplikasi-aplikasi yang diinginkan, yang tentunya semua itu dalam upaya perusahaan untuk mencapai tujuannya. Jika belum misalnya, maka perusahaan dapat mengambil tindakan yang diperlukan, sebelumnya sistem TI nya benar-benar dijalankan.
Yulnofrins, yang telah berpengalaman dalam menangani audit TI di PT Tiga Raksa, mengungkapkan bahwa audit TI mencakup sedikitnya enam komponen yang sangat esensial. Yakni, pendefinisian tujuan perusahaan; penentuan isu, tujuan dan perspektif bisnis antara penanggung jawab bagian dengan bagian TI; review terhadap pengorganisasian bagian TI yang meliputi perencanaan proyek, status dan prioritasnya, staffing levels, belanja TI dan IT change process management; assessment infrastruktur teknologi, assessment aplikasi bisnis; serta temuan-temuan, dan laporan rekomendasi. Sedang sukyek yang perlu diaudit mencakup, aspek keamanan, keandalan, kinerja dan manageability.
Di sisi lain, seperti diungkapkan Yayan Sopyan, Ketua Lembaga Belajar dan Bekerja Mediakita, dalam salah satu wawancaranya dengan detikcom mengungkapkan bahwa audit itu harus dilakukan terhadap sistem informasi secara keseluruhan, bukan cuma pada perangkat TI yang digunakan. Juga, bukan cuma soal software, hardware, jaringan saja. Audit dilakukan terhadap seluruh aspek yang terlibat dan relevan dalam sistem informasi.
Diungkapkan lebih lanjut oleh Yayan, bahwa meski mungkin menjadi tulang punggung, TI hanyalah salah satu aspek dari sebuah sistem informasi. Para profesional di bidang sistem informasi pasti tahu hal-hal mendasar semacam ini.
Dia juga mengambil contoh, di bidang keamanan sistem informasi, ada beberapa prinsip non teknis yang harus dipegang. Di kalangan profesional yang bergelut di bidang keamanan sistem informasi, ada prinsip yang dikenal sebagai prinsip multidisipliner (multidisciplinary principle), yang menegaskan bahwa segala macam pengukuran, praktik, dan prosedur keamanan sistem informasi harus juga meladeni segala pertimbangan dan sudut pandang berbagai disiplin yang relevan, termasuk aspek sosial budaya, hukum dan politik. Ada juga prinsip demokrasi (democracy principle), yang menegaskan bahwa keamanan sistem informasi perlu mempertimbangkan hak-hak pengguna dan pihak-pihak lain yang dipengaruhi oleh sistem.
Karenanya, yang penting bukan harus diaudit, tetapi perlu lebih jelas lagi audit apa yang perlu dilakukan, siapa yang berkompeten melakukannya, dan mengapa audit TI sangat diperlukan?
(Dikutip di E-Bizz Asia Volume II No 17 - Mei - Juni 2004)