Audit Teknologi Informasi tidak selalu harus dimulai dari seluruh sistem sekaligus. Dalam praktik bisnis, memilih sistem prioritas dalam audit TI justru menjadi langkah awal yang menentukan apakah audit akan menghasilkan temuan yang bernilai atau hanya menjadi pemeriksaan administratif. Perusahaan perlu tahu aplikasi, infrastruktur, dan alur data mana yang paling berpengaruh terhadap operasi, transaksi, keamanan informasi, serta kepatuhan.
Pendekatan ini penting karena hampir setiap fungsi bisnis kini bergantung pada sistem digital. Sistem keuangan, aplikasi penjualan, ERP, payroll, basis data pelanggan, layanan cloud, hingga infrastruktur jaringan memiliki tingkat risiko yang berbeda. Jika auditor memperlakukan semuanya dengan bobot yang sama, sumber daya audit bisa habis pada area yang kurang berdampak, sementara sistem yang benar-benar kritis justru tidak diuji secara memadai.
Dalam konteks Indonesia, kebutuhan ini juga selaras dengan arah regulasi. PP 71 Tahun 2019 menempatkan penyelenggaraan sistem elektronik dalam kerangka keamanan, keandalan, dan tanggung jawab penyelenggara sistem elektronik. Sementara itu, UU 27 Tahun 2022 tentang Pelindungan Data Pribadi mengatur kewajiban dalam pemrosesan data pribadi, termasuk data yang diproses melalui sistem elektronik.
Prioritas Audit TI Harus Berangkat dari Risiko, Bukan Sekadar Daftar Aplikasi
Kesalahan yang sering terjadi adalah menyusun ruang lingkup audit berdasarkan daftar aplikasi yang tersedia, bukan berdasarkan risiko. Akibatnya, audit terlihat lengkap di atas kertas, tetapi tidak selalu menjawab pertanyaan utama manajemen: sistem mana yang paling berpotensi mengganggu bisnis jika gagal, bocor, dimanipulasi, atau tidak patuh?
Pendekatan yang lebih tepat adalah melihat audit TI sebagai proses berbasis risiko. Auditor perlu memahami hubungan antara sistem, proses bisnis, pemilik data, pengguna, pihak ketiga, dan dampak operasional. Berdasarkan penjelasan ISACA, audit sistem informasi berperan untuk memverifikasi, melaporkan, dan memberi panduan atas efektivitas fungsi teknologi dan keamanan informasi organisasi.
Dengan cara ini, sistem prioritas bukan dipilih karena paling populer atau paling baru, melainkan karena memiliki konsekuensi paling besar terhadap keberlangsungan bisnis. Sistem dengan nilai transaksi tinggi, akses pengguna luas, data sensitif, atau ketergantungan tinggi terhadap vendor biasanya perlu masuk daftar awal.
Mulai dari Proses Bisnis yang Paling Kritis
Langkah pertama dalam menentukan aplikasi dan infrastruktur utama yang perlu diaudit adalah memetakan proses bisnis yang paling penting. Perusahaan perlu bertanya: proses mana yang langsung memengaruhi pendapatan, pembayaran, kepatuhan, layanan pelanggan, atau pelaporan manajemen?
Misalnya, bagi perusahaan perdagangan, sistem penjualan, persediaan, faktur, dan pembayaran biasanya lebih prioritas dibanding aplikasi pendukung internal yang dampaknya kecil. Bagi rumah sakit, sistem rekam medis dan pendaftaran pasien tentu lebih kritis karena menyangkut layanan, data pribadi, dan kesinambungan operasional. Bagi bank, sistem transaksi, kanal digital, core banking, dan keamanan akses menjadi area yang sangat sensitif.
Setelah proses bisnis dipetakan, auditor dapat menghubungkannya dengan aplikasi, basis data, server, jaringan, dan layanan pihak ketiga yang menopang proses tersebut. Dari sini terlihat bahwa audit TI bukan hanya soal aplikasi, tetapi juga soal rantai teknologi yang membuat proses bisnis berjalan.
Gunakan Kriteria yang Jelas agar Prioritas Tidak Subjektif
Agar keputusan audit lebih objektif, perusahaan sebaiknya menggunakan kriteria penilaian yang konsisten. Kriteria ini dapat dibuat sederhana, tetapi tetap mencerminkan risiko nyata di lapangan.
Beberapa faktor yang layak dinilai antara lain:
- Dampak terhadap operasi jika sistem mengalami downtime.
- Nilai transaksi atau volume data yang diproses.
- Jenis data yang dikelola, terutama data pribadi atau data keuangan.
- Jumlah pengguna dan tingkat hak akses.
- Ketergantungan terhadap vendor, cloud, atau integrasi pihak ketiga.
- Riwayat insiden, keluhan, temuan audit, atau perubahan sistem.
- Kewajiban regulasi yang melekat pada sistem tersebut.
NIST Cybersecurity Framework 2.0 juga menempatkan fungsi Govern, Identify, Protect, Detect, Respond, dan Recover sebagai kerangka untuk mengelola risiko keamanan siber. Dalam konteks prioritas audit, fungsi Identify membantu organisasi memahami aset, risiko, dan ketergantungan teknologi sebelum pengujian dilakukan.
Regulasi Menjadi Filter Penting dalam Menentukan Sistem Prioritas
Selain risiko bisnis, regulasi juga perlu menjadi filter. Menurut ketentuan dalam UU PDP, data pribadi mencakup data tentang orang perseorangan yang dapat diidentifikasi secara langsung atau tidak langsung, baik melalui sistem elektronik maupun nonelektronik. Artinya, sistem yang menyimpan atau memproses data pelanggan, karyawan, pasien, peserta, atau pengguna layanan perlu mendapat perhatian lebih tinggi.
Untuk penyelenggara sistem elektronik lingkup privat, Permenkominfo 5 Tahun 2020 juga relevan karena mengatur penyelenggara sistem elektronik privat dan telah diubah melalui Permenkominfo 10 Tahun 2021. Regulasi ini dapat menjadi rujukan ketika perusahaan menilai kewajiban pendaftaran, pengelolaan sistem, dan kepatuhan operasional digital.
Pada sektor tertentu, aturan sektoral harus ditambahkan. Misalnya, POJK 11/POJK.03/2022 mengatur penyelenggaraan teknologi informasi oleh bank umum. Regulasi ini menunjukkan bahwa untuk industri keuangan, prioritas audit TI tidak bisa dilepaskan dari manajemen risiko, keamanan, dan kesinambungan layanan teknologi.
Sementara itu, Permenkominfo 16 Tahun 2022 mengatur kebijakan umum penyelenggaraan audit TIK dalam konteks SPBE. Regulasi ini relevan untuk instansi pemerintah atau organisasi yang berkaitan dengan sistem pemerintahan berbasis elektronik, tetapi tidak boleh dipaksakan sebagai dasar utama untuk seluruh perusahaan privat.
Matriks Prioritas Membantu Audit Lebih Terukur
Setelah kriteria ditetapkan, auditor dapat menyusun matriks prioritas. Setiap sistem diberi skor berdasarkan dampak bisnis, sensitivitas data, risiko keamanan, kompleksitas integrasi, kepatuhan, dan riwayat masalah. Hasilnya tidak harus rumit, tetapi harus cukup jelas untuk menjelaskan mengapa suatu sistem diaudit lebih dulu.
Sebagai contoh, aplikasi ERP yang memproses pembelian, persediaan, jurnal akuntansi, dan pembayaran biasanya mendapat skor tinggi. Sistem payroll juga penting karena mengelola data karyawan dan transaksi penggajian. Sementara aplikasi internal yang hanya dipakai untuk pengumuman kantor mungkin memiliki prioritas lebih rendah, kecuali terhubung dengan data sensitif atau sistem utama.
Pendekatan ini membuat manajemen lebih mudah memahami nilai audit. Audit tidak lagi dipandang sebagai aktivitas teknis semata, tetapi sebagai alat untuk menjaga proses bisnis yang paling penting.
Kesalahan yang Perlu Dihindari Saat Menentukan Prioritas
Perusahaan sering terjebak pada asumsi bahwa sistem baru pasti paling berisiko. Padahal, sistem lama yang jarang diperbarui, minim dokumentasi, atau dikelola oleh sedikit orang bisa jauh lebih berbahaya. Sistem lama sering menyimpan data penting, tetapi tidak selalu memiliki kontrol akses, logging, atau backup yang memadai.
Kesalahan lain adalah hanya fokus pada aplikasi, lalu mengabaikan infrastruktur. Padahal, aplikasi yang baik tetap rentan jika server, jaringan, database, firewall, identity management, atau proses change management tidak dikendalikan dengan benar.
Selain itu, perusahaan tidak boleh hanya mengejar kepatuhan formal. Audit TI yang baik harus mampu menjawab apakah kontrol benar-benar berjalan, apakah bukti tersedia, dan apakah risiko residual masih dapat diterima oleh manajemen.
FAQ tentang Prioritas Sistem dalam Audit TI
Apakah semua aplikasi harus diaudit setiap tahun?
Tidak selalu. Aplikasi dengan risiko tinggi sebaiknya diaudit lebih sering, sedangkan aplikasi berisiko rendah dapat masuk siklus audit berkala. Yang penting, dasar pemilihannya terdokumentasi dan dapat dijelaskan.
Siapa yang sebaiknya terlibat dalam menentukan prioritas audit TI?
Tim audit, TI, pemilik proses bisnis, manajemen risiko, legal, kepatuhan, dan keamanan informasi sebaiknya terlibat. Kolaborasi ini membantu auditor memahami dampak bisnis, bukan hanya aspek teknis.
Apakah sistem yang dikelola vendor tetap perlu diaudit?
Ya. Penggunaan vendor tidak menghapus tanggung jawab perusahaan. Auditor tetap perlu menilai kontrak, kontrol akses, keamanan data, service level agreement, lokasi penyimpanan data, dan mekanisme pemantauan kinerja vendor.
Apa tanda bahwa suatu sistem harus menjadi prioritas audit?
Sistem perlu diprioritaskan jika mendukung proses bisnis utama, mengelola data sensitif, memiliki banyak pengguna, sering berubah, pernah mengalami insiden, atau diwajibkan oleh regulasi tertentu.
Kesimpulan: Audit TI yang Tepat Dimulai dari Prioritas yang Tepat
Menentukan sistem prioritas bukan sekadar tahap administratif sebelum audit TI dimulai. Langkah ini menentukan apakah audit mampu memberi nilai strategis bagi perusahaan. Dengan pendekatan berbasis risiko, perusahaan dapat memusatkan perhatian pada sistem yang paling berdampak terhadap operasi, kepatuhan, keamanan data, dan kepercayaan pemangku kepentingan.
Pada akhirnya, memilih sistem prioritas dalam audit TI membantu organisasi menggunakan waktu, anggaran, dan tenaga audit secara lebih bijak. Audit menjadi lebih tajam, temuan lebih relevan, dan rekomendasi lebih mudah ditindaklanjuti.
Ingin konsultasi atau diskusi lebih lanjut terkait cara menentukan aplikasi dan infrastruktur utama yang perlu diaudit? Anda dapat mulai dengan memetakan sistem kritis, menilai risiko, lalu menyusun prioritas audit TI yang sesuai dengan kebutuhan bisnis dan kewajiban regulasi perusahaan.