Sejak Electronic
Numerical Ingtegrator and Calculator (ENIAC), mbah dari
seluruh komputer yang ada saat ini, ditemukan oleh John William Mauchly dan J.
Presper Eckert pada tahun 1946 di Pennsylvania, peran Teknologi Informasi (TI),
khususnya yang berbasis komputer, berkembang semakin signifikan dalam menunjang
kehidupan manusia. Bukan hanya kehidupan manusia sebagai individu, tetapi
organisasi modern pun bergantung pada dukungan TI untuk dapat beroperasi dengan
efektif dan efisien setiap harinya. Berbagai proses komunikasi bisnis,
pengolahan informasi transaksi, bahkan pengambilan keputusan-keputusan penting
membutuhkan dukungan TI yang cukup.
Semakin signifikannya peran TI dalam mendukung
pencapaian tujuan organisasi tentu saja harus dibarengi dengan pengendalian TI
yang memadai. Tanpa adanya tata kelola TI yang memadai, sistem informasi
(sebagai kesatuan sumber daya informasi) yang dimiliki organisasi dapat menjadi
bumerang yang justru menghambat pencapaian tujuan organisasi. Bisa anda
bayangkan bagaimana jika misalnya peretail online besar
sekelas Lazada memiliki website yang tidak ramah pengguna
dan merepotkan pembeli dalam bertransaksi? Pelanggan tentu saja akan lebih
senang belanja di e-store lain yang lebih nyaman untuk
mereka. Tidak memadainya pengendalian TI juga dapat mengekspose organisasi
kepada berbagai ancaman keamanan informasi. Sebagai contoh, masih segar di
ingatan kita bagaimana maraknya kasus skimming ATM dan
pencurian data credit card yang terjadi belakangan ini.
Sektor publik pun tidak terlepas dari ancaman seperti ini. Terlebih, saat ini
berbagai instansi publik (termasuk kantor-kantor pemerintah) mulai
menerapkan e-governance secara dominan.
Berbicara soal tanggung jawab pengelolaan
informasi organisasi, organisasi modern umumnya telah memiliki unit khusus
dalam komponen management line-nya yang memiliki fungsi utama
mengelola sistem informasi organisasi agar berjalan sebagaimana diharapkan.
Namun, tidak berbeda dengan bentuk aktivitas lain dalam organisasi, aktivitas
pengelolaan sistem informasi organisasi membutuhkan penilaian independen yang
memadai dalam rangka meningkatkan keyakinan bahwa aktivitas pengelolaan
organisasi telah berjalan efektif dan efisien. Siapa yang bertanggung jawab
memberikan penilaian independen tersebut? Ya, jawabannya adalah unit audit
internal organisasi. International Professional Practice
Framework (IPPF) menyatakan bahwa aktivitas audit internal harus
menilai apakah tata kelola TI telah mendukung pencapaian tujuan dan strategi
organisasi (2110-A2). Tidak hanya di sektor privat, Standar Audit Intern
Pemerintah Indonesia (SAIPI) juga mengatur bahwa kegiatan audit internal harus
mengevaluasi rancangan, implementasi, dan efektivitas etika organisasi terkait
sasaran, program, dan kegiatan, serta menilai apakah tata kelola TI auditi
mendukung strategi dan tujuannya (3110-A2).
Auditor internal dapat menjalankan perannya
dalam penilaian kecukupan tata kelola TI organisasi melalui audit TI. Yang
penting untuk dipahami adalah audit TI tidaklah bermakna
sama dengan audit berbasis TI, yang biasa kita kenal dengan Teknik Audit
Berbantuan Komputer (TABK). Weber (1999, 10) menjelaskan bahwa audit sistem
informasi adalah proses untuk mengumpulkan dan mengevaluasi bukti dalam rangka
menentukan apakah suatu sistem komputer telah menjaga aset, mempertahankan
integritas data, mencapai tujuan-tujuan organisasi secara efektif, serta
mengonsumsi sumber daya secara efisien. Disini, jelas terlihat bahwa yang
dimaksud dalam audit TI adalah TI sebagai objek yang diaudit, bukan sebagai
alat untuk melakukan audit. Walaupun dalam pelaksanaan audit teknologi informasi
auditor nantinya dapat menggunakan teknik audit berbantuan komputer.
Pengelompokan lebih lanjut atas audit TI sendiri dapat bervariasi, misalnya
berbentuk audit pengendalian umum TI dan pengendalian aplikasi, audit proteksi
atas informasi, audit layanan dukungan, audit keberlangsungan, dan lain
sebagainya.
Auditor internal dituntut untuk mampu
berkembang sesuai dengan dinamika dunia, sehingga peran auditor internal dalam
memberikan added value bagi organisasi dari sisi tata kelola
TI adalah mutlak dibutuhkan saat ini. Berbagai pedoman, kerangka kerja, maupun
acuan untuk membantu para auditor internal menjalankan peran tersebut sudah
banyak diterbitkan. Information Technology Audit Framework (ITAF), Control
Objectives for Information and Related Technology (COBIT),
serial Global Technology Audit Guides (GTAGs), dan IT
infrastructure library (IT) adalah beberapa contoh acuan yang umum
digunakan. Untuk sektor pemerintahan sendiri, Asian Organization of
Supreme Audit Institution (ASOSAI) telah menerbitkan ASOSAI IT Audit
Guidelines sebagai salah satu referensi bagi auditor internal
pemerintah dalam menjalankan perannya mengawal tata kelola TI.
Melakukan audit atas TI tidak serta merta
berarti bahwa auditor internal harus memiliki pemahaman atas teknologi seperti
layaknya seorang ahli lulusan teknik informatika. Auditor cukup memahami
risiko-risiko TI yang dihadapi organisasi, model-model pengendalian TI yang
tepat bagi organisasi, serta titik-titik kritis dalam pengendalian TI. Jadi,
sudah saatnya auditor internal melek teknologi informasi, meskipun tidak harus
menjadi techno-geek.
* Artikel ini
juga dimuat pada Majalah Warta Pengawasan BPKP Edisi Mei 2011, halaman 26
Sumber
gambar: www.alfac.sk
