Audit Teknologi Informasi

Saya terkejut dengan berbagai temuan auditor baik internal maupun eksternal atas kinerja Teknologi Informasi. Serangan beruntun itu bak bombardir metraliur yang ditembakkan secara beruntun dikala situasi tenang, bukan perang.

Bayangkan mulai dari SPI , Komite Audit, KAP sampai Assessment GCG semuanya mengubek-ubek divisi Teknologi Informasi.

Dalam diskusi dengan staf saya pagi ini (17/4/2008) disayangkan mengapa tinjauan atas suatu kinerja hanya didasarkan pada kajian finansial semata. Atau kalaupun berdasar temuan di daerah, keluhan ketidak-bisaan karena ketidak-biasaan user, dipakai sebagai dasar statement bahwa program yang di launch tidak valid.

Bahkan ada yang fatal, seorang Akuntan membuka data di SISPUS dan mendapati ada data inventaris Kanwil yang kosong, tidak melakukan confirm ke kanwil ybs atau meminta tolong ke TI atas kekosongan data dimaksud, tetapi langsung menjadikan temuan. Dalam hal ini saya harus berterima kasih kepada seorang pegawai kantor pusat, bukan pejabat, yang atas inisiatif sendiri melihat angka kosong tersebut lalu meminta data ke kanwil ybs dan ketemu angka yang sebenarnya. Meski telanjur masuk management letter.

Kalau mau dirunut, sebenarnya TI pernah mengajukan permintaan pengadaan server untuk FTP (File Transfer Protocol) tetapi ditolak manajemen. Padahal kebuntuan data dapat teratasi manakala kita memakai FTP di tiap kanwil, sehingga data di SISWIL akan otomatis diambil oleh SISPUS by system.

Pembadutan itu terjadi, akibat dari akuntan yang harus memerlihatkan bonafiditasnya karena ini akhir periode mereka setelah 4 tahun berturut-turut memeriksa Pegadaian. Dikhawatirkan akuntan baru hasil tender terpilih nanti akan melecehkan akuntan sebelumnya karena kualitas temuannya. Akibatnya pula, ada temuan tahun lalu meski sudah saya tindak lanjuti, masih ditemukan lagi.

Pembadutan lain terjadi, wakil pemilik menemukan pemakaian anggaran yang sangat minim dilakukan PUSTI. Anehnya jawaban manajemen dibelokkan bukan oleh Pusti tetapi oleh Litbang, Divisi yang sudah almarhum beberapa tahun lalu. Lebih aneh lagi, Litbang kok bicaranya tentang online....hopo tumon ?

Dari semua tembakan metraliur itu. Satu hal yang pasti ! Semua audit atas teknologi informasi tidak dilakukan secara profesional. Kok ?

Audit TI harus dilakukan dengan specific tools. Terserah mau pilih COBIT, ITIL atau ISO 27001 ?! Dengan memakai alat audit itu, akan ketahuan bagaimana pengelolaan SDM, jaringan, hardware, software, proses pembuatan keputusan demi terselenggaranya operasionalisasi di TI dst.

Pengelolaan SDM untuk TI akan disidik dan diketahui bahwa divisi yang mengelola teknologi hampir seribu cabang di selindo ini, hanya beranggotakan 8 (delapan) orang di PUSTI dan 36 orang di kanwil selindo. Dari sana akan diketahui pula hanya seperenamnya yang berpendidikan TI, juga bagaimana career path, remunerasi, pola rekrutmen dlsb. Juga wewenang dan tanggung jawabnya Kapusti, apakah ia sebagai CIO perusahaan atau pejabat struktural saja ?

Jika auditor baik internal maupun eksternal memakai alat profesional untuk mengaudit TI, saya yakin hasilnya akan sangat buruk, dalam arti akan diketahui banyak sekali pengelolaan yang kurang memenuhi syarat seperti yang seharusnya. Hasilnya pasti akan lebih buruk daripada temuan yang terungkap sekarang ini. Tetapi beranjak dari sana akan menumbuhkan komitmen bersama untuk dibawa kemanakah TI kedepan. Dan... itu tadi, menilainya dengan memakai ukuran yang seharusnya.

Ada pekerjaan mendesak sekarang ini. Sistem Logistik harus terimplementasi dengan baik selindo dan akur (meski selisih harus ada penjelasannya). Dari sana menuju ke Revaluasi Aset untuk dipakai sebagai salah satu alat pemerseroan. Untuk itu, server FTP harus tersedia di kanwil selindo beserta setting software yang dilakukan konsultan. Apa hubungannya dengan audit di PUSTI ?

Yang menjadi kesulitan utama saya dalam pengadaan server FTP itu adalah bagaimana membuat yang tidak mengerti menjadi ngeh ! Bukankah itu tujuan audit TI ?

Temuan auditor bukan untuk meyakinkan auditor lain bahwa ia berkualitas tetapi untuk membuat semuanya peduli TI. Bukankah itu pula yang disebut katalisator dan konsultan ?

Kembali ke hasil diskusi dengan staf. Dalam bekerja, saya selalu menerapkan "tidak ada pegawai yang bodoh, yang ada adalah atasan yang kurang mampu".