Pengujian Yang Perlu Diuji

Dalam bidang teknologi informasi umumnya ada dua persoalan yang lazim dihadapi yaitu tidak berfungsinya atau tidak tersedianya layanan informasi sebagaimana mestinya dan yang kedua insiden keamanan informasi.

Kedua hal tersebut seringkali diharapkan dapat dicegah dengan penerapan audit atau uji kesesuaian yang diikuti dengan langkah-langkah koreksi atau perbaikan. Audit dimaksud umumnya menggunakan referensi berbagai standar dan regulasi sebagai acuan.

Ketersediaan dan kelengkapan dari berbagai standar dan regulasi adalah faktor penting untuk mencapai manfaat maksimal dari kegiatan uji kesesuaian.

Pertanyaannya adalah, apakah tersedianya standar, regulasi dan dilaksanakannya audit memastikan keberlangsungan layanan teknologi informasi, termasuk keamanan informasi?

Bisa saja pengertian dari audit berbeda dengan uji kesesuaian, namun ijinkan penulis menggunakan kedua istilah ini secara silih berganti dimana uji kesesuaian yang dimaksud ada program yang resmi dilakukan oleh orang atau sekelompok orang yang memiliki kompetensi dan kualifikasi tertentu. Tulisan ini berfokus pada proses audit atau uji kesesuaian.

Persyaratan Audit

Untuk melakukan audit yang baik pada umumnya beberapa persyaratan dasar harus mendapat pertimbangan yaitu:

Ruang Lingkup

Pertama perlu ditetapkan ruang lingkup dari uji kesesuaian sesuai dengan permasalahan dan kebutuhan dari organisasi serta seluruh pemangku kepentingan.

Perlu dihindari ruang lingkup yang terlalu sempit sehingga permasalahan dan kebutuhan yang sebetulnya ada tidak semuanya dapat terliput dengan baik dalam proses audit. Kegagalan menetapkan ruang lingkup yang tepat adalah potensi masalah pertama dalam kegagalan mencapai sasaran dari satu program audit.

Metodologi

Selanjutnya perlu ditetapkan  metode audit apa yang akan digunakan dari berbagai metode termasuk meninjau dokumen, melakukan wawancara, melakukan observasi melakukan penilaian teknis atau metode lainnya. Tata cara melakukan audit dapat berkontribusi terhadap efektivitas dan efisiensi program audit, termasuk tercapainya tujuan dari program audit.

Metodologi yang kurang tepat berpotensi membuat program audit tidak mencapai sasaran atau gagal. Auditor juga dapat menggunakan berbagai alat bantu yang memanfaatkan teknologi, termasuk teknologi informasi, untuk melakukan pengumpulan data, analisis, visualisasi dan keperluan lain. Hal ini meningkatkan efektivitas metodologi yang dipilih dan digunakan.

Sumber Daya

Persyaratan ketiga adalah ketersediaan sumber daya yang meliputi anggaran, kompetensi sumber daya manusia dalam jumlah dan kualitas serta waktu yang dibutuhkan untuk program audit dilakukan. Ketersediaan sumber daya dapat berhubungan erat dengan dua persyaratan di atas yaitu ruang lingkup dan metodologi.

Potensi Permasalahan

Beberapa hal dapat berkontribusi pada kurang berhasilnya program audit, yakni:

Kurangnya dukungan dari lembaga otoritas pada tingkat lintas instansi dan manajemen puncak pada tingkat organisasi. Tanpa dukungan yang cukup auditor dapat mengalami kesulitan untuk mendapatkan akses ke informasi dan sumber daya yang dibutuhkan agar program audit dapat berjalan dengan lancar dan efektif.

Dukungan dimaksud dapat terhalangi juga oleh berbagai kepentingan politis dan konflik kepentingan yang memerlukan intervensi berdasarkan regulasi dan penegakan aturan yang kuat.

Kurang tersedianya kompetensi manajerial pada organisasi yang menjadi sasaran program audit, termasuk kemampuan melakukan koordinasi yang melibatkan berbagai pihak di dalam organisasi maupun di luar organisasi yang terkait dengan ruang lingkup program audit.

Kurang keahlian dan pengalaman dari auditor. Dengan sendirinya untuk melakukan program audit dengan ruang lingkup yang luas dan permasalahan yang kompleks auditor harus memiliki keahlian dan pengalaman yang memadai.

Auditor seharusnya mendapatkan akses terhadap tenaga ahli yang spesifik dalam bidang tertentu yang dapat memberikan pandangan-pandangan dan penilaian tambahan yang diperlukan oleh auditor. Auditor juga harus memiliki pengetahuan tentang etika profesional auditor editor dan melakukan tugasnya dengan mengindahkan etika dimaksud.

Kurangnya waktu dan sumber daya. Audit membutuhkan waktu dan sumber daya yang cukup agar dapat dilakukan dengan baik. Jika waktu dan sumber daya yang tersedia tidak mencukupi, maka kegiatan audit dapat dilakukan tergesa-gesa dan sekedar memenuhi harapan dan kehilangan peluang untuk menemukan kesenjangan kesenjangan yang penting untuk koreksi dan perbaikan. 

Hambatan teknis. Dalam beberapa kasus, auditor mungkin menghadapi hambatan teknis, seperti data, informasi, dokumentasi sistem dan fasilitas pendukungnya yang tidak dapat diakses dan diinterpretasi dengan baik . Hambatan teknis ini dapat menghambat proses audit dan menyebabkan hasil audit yang tidak akurat.

Pengujian Terhadap Uji Kesesuaian

Sesuai dengan judul tulisan ini maka uji kesesuaian juga perlu diuji apakah sudah baik dan sesuai dengan tujuan dan sasarannya. Hal yang perlu diuji atau dinilai dari satu program audit atau uji kesesuaian dapat meliputi:

1. Kebijakan dan prosedur.
   • Apakah program audit dilakukan berdasarkan kebijakan dan prosedur audit yang jelas dan komprehensif?
   • Apakah kebijakan dan prosedur tersebut dikomunikasikan dan dipahami oleh semua pihak yang terkait?
2.  Kompetensi
   • Apakah program audit dilakukan oleh sumber daya dengan jumlah dan kompetensi yang memadai (kematangan, pengetahuan, pengalaman)?
   • Apakah organisasi memiliki proses untuk mengelola dan memantau program audit?
3.  Rencana audit
   • Apakah rencana audit disusun secara cermat dan realistis?
   • Apakah rencana audit tersebut sudah mencakup semua aspek yang perlu diaudit?
   • Apakah rencana audit tersebut disetujui dan mendapat dukungan dari  otoritas dan manajemen senior?
4.  Metode audit
   • Apakah metode audit yang digunakan sesuai dengan tujuan audit?
   • Apakah metode audit tersebut dapat menghasilkan bukti yang akurat dan objektif?
   • Apakah metode audit tersebut dapat diterapkan secara konsisten?
   • Apakah audit sudah menggunakan alat bantu secara maksimal sehingga lebih efektif dan efisien?
5.  Bukti audit
   • Apakah bukti audit yang dikumpulkan cukup untuk mendukung kesimpulan audit?
   • Apakah bukti audit tersebut akurat dan objektif?
   • Apakah bukti audit tersebut terdokumentasi dengan baik?
6.  Kesimpulan audit
   • Apakah kesimpulan audit didasarkan pada bukti audit yang dikumpulkan?
   • Apakah kesimpulan audit tersebut disajikan secara jelas dan ringkas?
   • Apakah kesimpulan audit tersebut dikomunikasikan kepada pihak yang terkait dan mendapatkan tanggapan?
7.  Rekomendasi audit
   • Apakah rekomendasi audit dapat diterapkan?
   • Apakah rekomendasi audit tersebut diprioritaskan berdasarkan kondisi, permasalahan dan kebutuhan yang ada, termasuk prioritas yang ada ?
   • Apakah rekomendasi audit tersebut dapat dimonitor untuk memastikan tindak lanjutnya?

Akhir Kata

Tulisan singkat ini diharapkan dapat menggugah semangat untuk melakukan program audit dengan sebaik-baiknya, tidak sekedar mendapatkan laporan hasilnya tanpa mendapat manfaat yang maksimal.

Butir butir hal yang perlu kita periksa atau uji sebagaimana tertulis di atas dapat digunakan sebagai referensi bagi satu daftar periksa (checklist) bagi para auditor, pihak yang berfungsi mengawasi, dan pihak yang mendapatkan manfaat dari program audit.

Tentu saja tindak lanjut dari rekomendasi hasil proses audit sangat penting dalam terjadinya koreksi, perbaikan atau peningkatan secara berkelanjutan. Pada tulisan ini kita fokus pada proses auditnya saja, belum membahas tindak lanjut terhadap hasil audit.

Diujinya pengujian atau audit dapat memberikan manfaat yang penting seperti:

1. Meningkatkan kepercayaan terhadap kualitas dalam organisasi baik bagi internal organisasi maupun bagi pemangku kepentingan.
2. Memastikan kepatuhan organisasi terhadap regulasi dan kesesuaian terhadap berbagai acuan atau standar yang disepakati menjadi ukuran melalui proses yang sistematis dan objektif.
3. Menemukan kesenjangan secara akurat dan lengkap sehingga memudahkan peningkatan kinerja dan kualitas yang tepat sasaran.
4. Menemukan peluang perbaikan bagi program audit dari berbagai aspek seperti alokasi sumber daya, proses audit, penggunaan metodologi dan hal lain.

Seringkali para ahli mengatakan bahwa kita hanya dapat meningkatkan hal yang dapat diukur. Oleh karenanya tidak berlebihan bila uji kesesuaian yang kita lakukan kita uji juga.