Anjar Priandoyo's Shortcut

Simple Career Advice for Everyone

Cara pandang IT auditor terhadap staf IT yang diaudit

with 6 comments

Ada pertanyaaan yang sangat bagus:
Q: Boleh tau gak cara pandang IT Auditor terhadap Staf IT yang diaudit.
Masalahnya, Orang IT gak suka di-tanya2 apalagi disalah2in sama orang
bukan IT. Mereka selalu berpikir Auditor cuman tau global, tapi kadang
seakan tau semua.

Begini pak, dalam dunia audit ada terminology yang bernama ‘Professional Scepticism‘ (Skeptis secara profesi) yang artinya sebagai auditor kita harus bersikap skeptis terhadap client kita, mudahnya jika mereka bilang, laporan keuangan kita sudah bagus pak, kita diwajibkan untuk tidak percaya, diwajibkan untuk melakukan pemeriksaan lebih lanjut.

Jargon Scepticism inilah yang digunakan juga dalam audit TI, sehingga jikalau ada auditor bertanya bagaimana control terhadap anti virus, dan client berkata bahwa di servernya sudah ada anti virus, maka auditor IT wajib untuk meragukannya dan memeriksanya lebih lanjut. Sehingga kalau auditor IT tampak menyebalkan, bertanya-tanya hal-hal yang tidak penting sebenarnya merupakan bentuk professionalisme mereka. Kewajiban pekerjaan yang mengharuskan mereka bersikap seperti demikian. Menyebalkan memang.

Nah yang menjadi masalah saat ini adalah beberapa IT auditor memang datang dari latar belakang yang non IT, misalnya bisnis atau akunting. Hal ini didasari kenyataan profesi IT auditor memang mulanya datang dari industri keuangan/akuntasi itu sendiri. Ini yang bila IT auditor tersebut tidak dibelakali dengan pemahaman yang cukup mengenai bagaimana IT operation akan menyebabkan adanya gap dalam proses audit. Dan ini terjadi dimana-mana kok pak.

IT auditor hanya tahu global?
Memang benar, IT auditor hanya tahu berbagai persoalan secara global, sama persis seperti CIO anda yang juga hanya tahu berbagai persoalan secara global. Bedanya CIO akan berupaya mengelola sistem TI-nya, sedangkan auditor yang berupaya memeriksa jalannya sistem dengan baik.

Tapi semua ini juga kembali pada pribadi masing-masing auditor. Ada yang misinya adalah ‘mencari kesalahan’, sementara ada yang misinya adalah memberikan solusi pada si client. Karena biar bagaimanapun selalu dibutuhkan pihak ketiga, yang berdiri secara independen diluar sistem untuk memberikan penilaian (Professional Judgement) terhadap pelaksanaan TI-nya.

Written by Anjar Priandoyo

September 7, 2006 pada 6:24 am

Ditulis dalam Job

6 Tanggapan

Subscribe to comments with RSS.

  1. Apa ukuran IT Auditor yg bagus? Apa harus nemu kesalahan? Bukannya auditor itu untuk mencari kesalahan? Beda lho sama mencari-cari kesalahan. Nggak mustahil kan kalo ada IT Auditor yg “kejar target” , dalam artian dia pikir dia dibilang sukses kalo bisa menemukan kelemahan/kesalahan dalam sistem yg diauditnya.
    Mengenai jargon scepticism, wajar donk kalo staf IT jadi skeptis kalo diaudit. Dibilang auditornya punya kemampuan yg bagus jelas staff IT gak boleh percaya gitu aja, harus skeptis juga, he he he he…. Orang bertanya itu kan tujuannya kalo nggak pengen tahu juga bisa karena ingin menguji.

    NB : i don’t think outside of the box, i tear it !! (taken from Tokyo Drift)

    yuan

    September 11, 2006 at 3:59 am

  2. Kesalahan itu ada dua macam pak:
    1. Emang karena dia tidak mengerti, sehingga dia tidak tahu apa urgensinya pasang IDS misalnya.
    2. Dia mengerti tapi berusaha menipu, mencurangi atau mengakali.

    Kesalahan tipe II banyak terjadi di keuangan, lha wong prosedurnya kan gitu-gitu aja, dan orang berusaha securang mungkin. Pengurangan pajak misalnya, laporan yang tidak akurat, kesalahan interpretasi data dll dkk. Sedangkan tipe I, justru banyak di dunia IT, misalnya konfigurasi lah, sistemlah

    Kalau IT auditor kejar target? hmm pada kenyataannya jarang sekali yang berkeinginan kejar target seperti itu karena:
    1. Semakin banyak kesalahan yang dibuat, justru auditor akan susah sendiri. Dan bagi client ini ‘merugikan’. Orang yang diaudit pengennya, tidak ada kesalahan yang ditemukan.

    2. Pada prakteknya, rekomendasi yang diberikan IT auditor sebenarnya sangat sederhana. Memang, kembali pada skup auditnya juga, tapi kebanyakan hanya menyentuh diluar saja. Biasanya dikembalikan pada chargenya seperti apa. Ironis memang

    Kalau client yang skeptis :D hehehe, kenyataannya memang demikian, sebab ada juga client yang engineernya sudah ngelotok masalah security, dan kebetulan auditornya kurang berpengalaman, tapi tetep lebih banyak yang clientnya kurang berpengalaman dibandingkan si auditor.

    Anjar Priandoyo

    September 11, 2006 at 6:24 am

  3. Paling enak menurut pengalaman saya itu ng-Audit kalo bisa auditornya sok ‘anonym’ dulu, berhubung sekali dapet client and terjun di “area” mereka, kita jadi seolah dicurigai sok jadi detektive yg harus menemukan sesuatu … kalo pun nenmukan ‘sesuatu’ itu, baiknya diam dulu ato pura2x tanya sambil mikir di backgroud, ntar ini bakal gue tulis ‘kayak gini’ nih ….heheheh

    Dan bagi saya pribadi, ceremonial macem ‘audit opening’ bersama para bosses secara tidak langsung merupakan ‘benteng’ / support untuk diberi kekuasaan sementara menggeledah ‘lemari IT’ mereka termasuk para pembantunya :)

    Ditutup dgn audit closing malah lebih perlu lagi, ada istilah temen disini ‘agak jual JP(jilat pantat -maaf) dikit” sama yg nyuruh gawe audit ini … Tapi juga berdamai juga sekalian lah sama auditee nya, kita kasi lihat mis. berdasarkan security isms iso conversion 27k1:2005 (dulu BS 7799), begini loh standard nya mas guanteng yg betul … atau iso 9k1 QMS, baiknya seperti ini yo Pak de & mbak … jangan marah loh…dll dll, ntar malah ngak dibayar malah… kekekek ;)

    Tapi ya itu, pertama modal ‘tebel muke’ dulu biar bisa rada bebas menurut saya… apalagi kalo di negara ‘Kiasu” (pesimistis) seperti Singapore ini, ntah kalo di negara kita ya … lebih ‘soft and sopan’ kali orangnya ??

    Wah sorry … uneg2 sesama auditor jgn disebar luaskan :P

    dahsyat

    November 7, 2006 at 4:08 pm

  4. wohohoho, mas dahsyat ternyata lebih ahli dalam urusan interpersonal skill nih. btw kalau dengan client lebih banyak punya temen atau ‘musuh’. Auditor kan networknya banyak, tapi bisa juga jadi networking yang negatif :D, sharing dong mas. Apalagi di singapore nih, pasti banyak cerita dong

    priandoyo

    November 8, 2006 at 1:18 am

  5. hmmm …paling ngeri kalo ngemail ke Blogger kata pepatah (apalgi blog nya auditor!) … bisa2x semua jadi di publish online dan diintrogasi malah, apalagi kalo ngak ada ide mau tulis apa katanya …. kalo auditor khan prinsip CIA (Confidential, Integrity and Availability) tapi buat saya tambahin dgn P (Privacy) juga deh, jadi ACIP ato PICA gitu heheheh.
    Jadi inget2x zaman sy(maklum dah pake tongkat nih) dulu, nge-blognya biasanya kirim ke majalah ato nulis di koran2x paling… lumayan dapet tambahan uang rokok juga ;) kebetulan masi belon digusur nih: http://www.swa.co.id/swamajalah/tren/details.php?cid=1&id=1951 ,yg lainnya tapi kebanyakan di scans aja buat kenang2x an sih :D

    Yah … sbg auditor ingat aja bahwa kita itu didepan mrk sebagai ‘Professional’, kadang saking ‘kiasu-nya’ mereka / client disini sebelum dateng semua certificate2x kita juga suruh scans and kirim dulu coba … Namanya juga ‘orang bayaran’ , jadi malah kalo action ng-Audit-nya kadang juga bisa jadi ‘pembunuh bayaran’ yah kekekekek

    Wah sorry nglantur lagi and menuh2in blog anda nih …

    dahsyat

    November 8, 2006 at 3:30 am

  6. aku da tugas cari pengalaman dilema etis auditor
    tolong dikasih ya, kirim ke
    anissade182@yahoo.com
    tolong ya, makasih, dikumpul ntar malem..

    anis

    Juni 25, 2008 at 4:15 am


Tinggalkan Balasan

Isikan data di bawah atau klik salah satu ikon untuk log in:

Logo WordPress.com

You are commenting using your WordPress.com account. Logout / Ubah )

Gambar Twitter

You are commenting using your Twitter account. Logout / Ubah )

Foto Facebook

You are commenting using your Facebook account. Logout / Ubah )

Foto Google+

You are commenting using your Google+ account. Logout / Ubah )

Connecting to %s

%d blogger menyukai ini: