Cara Ampuh Mencegah Repeat Finding dalam Audit IT

Ditulis oleh :

rexy

ilustrasi dokumen repeat finding dalam audit it

Musim audit tiba, laporan disusun, rapat closing meeting digelar dan tim IT maupun manajemen kembali membaca temuan yang rasanya “familiar”. Bukan familiar karena baru saja diperbaiki tahun lalu, tetapi familiar karena temuan yang sama, dengan kalimat yang hampir identik, kembali muncul di laporan audit tahun ini. Bahkan pada beberapa organisasi, temuan yang sama bisa bertahan tiga hingga empat siklus audit berturut-turut.

Fenomena ini dikenal sebagai repeat finding, dan sayangnya, ini bukan kejadian langka. Di banyak organisasi, repeat finding justru menjadi pola yang dianggap “biasa”sesuatu yang diterima begitu saja tanpa benar-benar dipertanyakan mengapa hal itu terus terjadi.

Apa Itu Repeat Finding dalam Audit IT?

Repeat finding adalah temuan audit yang sebelumnya sudah pernah diidentifikasi, direkomendasikan perbaikannya, dan dinyatakan “selesai” atau “closed” namun ternyata muncul kembali pada periode audit berikutnya, baik dalam bentuk yang identik maupun dengan sedikit variasi.

Contohnya cukup umum ditemukan: tahun lalu auditor mencatat bahwa kebijakan password belum diterapkan secara konsisten di seluruh sistem. Tim IT kemudian menyatakan sudah menindaklanjuti dengan memperbarui kebijakan. Namun setahun kemudian, auditor kembali menemukan pola yang sama beberapa sistem masih menggunakan kebijakan password lama, atau kebijakan baru hanya diterapkan di sebagian sistem, bukan secara menyeluruh.

Repeat finding berbeda dari temuan baru. Ia menunjukkan bahwa akar masalah sesungguhnya tidak pernah benar-benar diselesaikan yang terjadi hanyalah perbaikan di permukaan yang cukup untuk “menutup” laporan audit sebelumnya, tanpa benar-benar mengubah kondisi yang mendasarinya.

Baca juga : Kupas Tuntas IT Audit: Pengertian, Jenis, Proses, Manfaat, dan Rekomendasi untuk Perusahaan Anda

Penyebab Temuan Audit Selalu Berulang

1. Perbaikan Hanya Bersifat Administratif, Bukan Substantif

Ini adalah penyebab paling umum. Ketika temuan audit muncul, tekanan waktu dan target “closing” sering membuat organisasi memilih solusi yang paling cepat memperbarui dokumen kebijakan, membuat surat pernyataan komitmen, atau melakukan perbaikan parsial yang cukup untuk memenuhi checklist auditor. Namun proses bisnis dan sistem yang mendasarinya tidak benar-benar berubah.

Hasilnya, di atas kertas temuan tampak “selesai”, tetapi kondisi riil di lapangan tidak banyak bergeser dari sebelumnya.

2. Tidak Ada Pemilik (Owner) yang Jelas atas Setiap Rekomendasi

Banyak organisasi menyusun rencana tindak lanjut (action plan) tanpa menetapkan secara spesifik siapa yang bertanggung jawab, kapan tenggat waktunya, dan bagaimana mengukur keberhasilannya. Ketika tanggung jawab tersebar tanpa kejelasan, hasilnya sering berupa “tanggung jawab kolektif yang tidak dimiliki siapa-siapa” setiap orang berasumsi pihak lain sudah menanganinya.

3. Root Cause Analysis Tidak Dilakukan Secara Mendalam

Sebagian besar organisasi berhenti pada level “apa yang salah”, tanpa benar-benar menggali “mengapa hal itu terjadi” dan “apa yang menyebabkan penyebab tersebut muncul”. Misalnya, temuan “kontrol akses tidak memadai” seringkali direspons dengan menambah satu langkah verifikasi, tanpa menyadari bahwa akar masalahnya adalah proses onboarding-offboarding karyawan yang tidak terintegrasi dengan sistem IT sejak awal.

Tanpa root cause analysis yang tepat, solusi yang diterapkan hanya menyentuh simptom, bukan penyebab struktural yang sesungguhnya.

4. Tindak Lanjut Tidak Dipantau Secara Sistematis

Rencana perbaikan sering disusun dengan baik di atas kertas, tetapi tidak ada mekanisme pemantauan berkelanjutan untuk memastikan implementasinya benar-benar berjalan sesuai rencana. Status tindak lanjut hanya dicek kembali menjelang audit berikutnya yang berarti, jika ada kendala di tengah jalan, tidak ada yang menyadarinya sampai auditor kembali menemukan masalah yang sama.

5. Turnover Karyawan Menghapus Pemahaman Institusional

Personel yang memahami konteks temuan dan alasan di balik rekomendasi tertentu sering berpindah posisi atau keluar dari perusahaan sebelum implementasi benar-benar tuntas. Pengganti mereka mewarisi dokumen action plan tanpa memahami konteks penuhnya, sehingga implementasi menjadi terputus atau bahkan terlupakan begitu saja.

6. Audit Dianggap Formalitas Tahunan, Bukan Proses Perbaikan Berkelanjutan

Di banyak organisasi, audit baik internal maupun eksternal dipandang sebagai kewajiban administratif yang harus “dilewati” setiap tahun, bukan sebagai mekanisme continuous improvement yang seharusnya memperkuat tata kelola organisasi secara berkelanjutan. Pola pikir ini membuat perbaikan hanya dikejar menjelang audit, alih-alih menjadi bagian dari operasional rutin.

7. Prioritas Bisnis Lain Dianggap Lebih Mendesak

Perbaikan atas temuan audit IT sering harus “berebut” anggaran dan perhatian dengan inisiatif bisnis lain yang dianggap lebih strategis atau menghasilkan pendapatan langsung. Ketika keamanan dan tata kelola IT dipandang sebagai cost center semata, perbaikan struktural cenderung ditunda hingga akhirnya terlupakan.

Baca juga : Panduan Lengkap Proses IT Governance Audit

Dampak Repeat Finding

Repeat finding bukan sekadar catatan administratif yang mengganggu laporan audit. Dampaknya dapat menyentuh berbagai aspek organisasi:

1. Eskalasi tingkat keparahan (severity) temuan

Auditor, baik internal maupun eksternal, umumnya menaikkan tingkat risiko atau severity dari temuan yang berulang. Temuan yang awalnya berkategori “minor” bisa dinaikkan menjadi “major” karena dianggap menunjukkan kelemahan sistemik dalam manajemen risiko organisasi.

2. Menurunnya kepercayaan regulator dan pemangku kepentingan

Bagi sektor yang diawasi ketat seperti perbankan dan jasa keuangan, repeat finding dalam audit kepatuhan (seperti audit POJK/PBI) dapat menjadi sinyal negatif bagi regulator tentang kualitas tata kelola dan manajemen risiko perusahaan.

3. Biaya audit yang membengkak

Auditor cenderung memperluas cakupan pemeriksaan (scope) dan melakukan uji lebih mendalam pada area yang memiliki riwayat temuan berulang, yang berarti waktu dan biaya audit menjadi lebih besar dari yang seharusnya.

4. Risiko operasional dan keamanan yang terus terbuka

Jika temuan berkaitan dengan celah keamanan atau kontrol yang lemah, repeat finding berarti celah tersebut tetap terbuka lebih lama meningkatkan jendela waktu bagi pihak yang ingin mengeksploitasinya, baik pihak internal maupun eksternal.

5. Sinyal kelemahan tata kelola ke investor dan mitra bisnis

Dalam proses due diligence, uji tuntas, atau kerja sama bisnis, riwayat repeat finding dapat menjadi red flag yang mempertanyakan kematangan tata kelola perusahaan secara keseluruhan.

6. Menurunnya kredibilitas fungsi audit internal itu sendiri

Ironisnya, ketika temuan yang sama terus berulang tanpa penyelesaian nyata, hal ini juga bisa menurunkan kepercayaan manajemen terhadap efektivitas fungsi audit internal dan proses tindak lanjutnya.

Baca juga : Pentingnya IT GRC dalam Mengelola Risiko dan Kepatuhan: Panduan untuk Perusahaan Modern

Cara Mencegah Repeat Finding

Memutus siklus repeat finding membutuhkan pendekatan yang lebih sistematis dibanding sekadar “menutup” temuan secepat mungkin. Berikut langkah-langkah yang dapat diterapkan:

1. Lakukan Root Cause Analysis yang Sesungguhnya

Sebelum menyusun rencana perbaikan, luangkan waktu untuk benar-benar memahami akar masalah menggunakan metode seperti 5 Whys atau fishbone diagram. Pertanyaan yang perlu terus digali bukan “apa yang perlu diperbaiki”, melainkan “mengapa kondisi ini bisa terjadi, dan mengapa penyebab itu sendiri muncul”.

2. Tetapkan PIC dan Timeline yang Jelas dan Realistis

Setiap rekomendasi audit harus memiliki pemilik (owner) yang spesifik, bukan sekadar “departemen IT” secara umum. Timeline penyelesaian juga harus realistis dan disepakati bersama, bukan sekadar tanggal formal untuk memenuhi laporan.

3. Bangun Sistem Tracking Tindak Lanjut (CAPA Tracker)

Corrective Action Plan (CAPA) yang efektif membutuhkan sistem pemantauan berkelanjutan bukan hanya diperiksa menjelang audit berikutnya. Banyak organisasi mulai menggunakan platform GRC (Governance, Risk, and Compliance) untuk memantau status implementasi secara real-time, lengkap dengan notifikasi otomatis jika tenggat waktu mendekati atau terlewat.

4. Validasi Closure Temuan Secara Independen

Sebelum sebuah temuan dinyatakan “closed”, perlu ada proses verifikasi independen baik oleh auditor internal maupun pihak ketiga untuk memastikan perbaikan benar-benar diimplementasikan secara substantif, bukan hanya berdasarkan pernyataan atau dokumen dari pihak yang bertanggung jawab atas temuan tersebut.

5. Integrasikan Hasil Audit ke dalam Continuous Monitoring

Alih-alih menunggu siklus audit tahunan berikutnya untuk mengetahui apakah masalah muncul kembali, organisasi yang matang mengintegrasikan area-area berisiko tinggi ke dalam mekanisme monitoring berkelanjutan, sehingga penyimpangan dapat terdeteksi lebih cepat sebelum menjadi temuan besar di audit berikutnya.

6. Bangun Budaya Audit sebagai Continuous Improvement

Pergeseran pola pikir ini penting: audit bukan “ujian tahunan yang harus dilewati”, melainkan mekanisme yang membantu organisasi menjadi lebih baik secara berkelanjutan. Ketika budaya ini tertanam, tim cenderung lebih terbuka dan proaktif dalam menindaklanjuti temuan, bukan sekadar defensif untuk “lolos” dari catatan auditor.

7. Libatkan Manajemen Puncak dalam Pemantauan Status Tindak Lanjut

Ketika status penyelesaian temuan audit menjadi bagian dari laporan rutin ke manajemen puncak atau bahkan dewan komisaris, tekanan dan dukungan untuk menyelesaikannya secara substantif termasuk dukungan anggaran cenderung jauh lebih besar dibanding jika hanya menjadi urusan internal tim IT.

Baca juga : 5 Alarm Darurat yang Menunjukkan Perusahaan Butuh Assessment COBIT 2019

Peran Kerangka Kerja Standar Cegah Repeat Finding

Kerangka kerja seperti COBIT 2019 dan ISO/IEC 27001 sebenarnya sudah dirancang dengan prinsip continuous improvement (siklus Plan-Do-Check-Act) yang, jika diterapkan secara konsisten, dapat mencegah repeat finding secara struktural. COBIT, misalnya, menekankan pentingnya proses tata kelola yang terukur dan dapat dipantau levelnya secara berkala, sehingga organisasi dapat mengetahui apakah suatu proses benar-benar meningkat levelnya dari waktu ke waktu, bukan hanya “diperbaiki sesaat” menjelang audit.

Melalui asesmen berbasis kerangka kerja yang tepat, organisasi dapat memetakan bukan hanya temuan yang tampak di permukaan, tetapi juga tingkat kematangan proses yang mendasarinya sehingga perbaikan yang dilakukan benar-benar bersifat struktural dan berkelanjutan, bukan tambal sulam yang berisiko kembali menjadi temuan di periode berikutnya.

Kesimpulan

Temuan audit IT yang terus berulang bukanlah “nasib” yang harus diterima organisasi setiap tahun. Ia adalah gejala dari cara organisasi menyelesaikan masalah apakah benar-benar menyentuh akar penyebabnya, atau hanya menutup catatan audit secepat mungkin agar terlihat “selesai” di atas kertas.

Memutus siklus repeat finding membutuhkan komitmen untuk melakukan root cause analysis yang jujur, kepemilikan tindak lanjut yang jelas, pemantauan yang konsisten, serta pergeseran budaya dari “audit sebagai formalitas” menjadi “audit sebagai alat perbaikan berkelanjutan”. Investasi pada pendekatan yang lebih sistematis ini pada akhirnya jauh lebih efisien dibanding terus-menerus menghadapi temuan yang sama, tahun demi tahun, dengan risiko yang terus membesar setiap kali dibiarkan berulang.

Jika perusahaan Anda ingin memutus siklus repeat finding dan membangun tata kelola IT yang benar-benar matang, tim Proxsis IT siap membantu melakukan asesmen dan pendampingan yang tepat. Konsultasi Gratis 30 menit bersama konsultan ahli kami, tanpa komitmen apa pun mulai dari memahami akar masalah di balik temuan audit yang terus berulang di organisasi Anda.

FAQ (Pertanyaan yang Sering Diajukan)

  1. Apa perbedaan antara temuan baru dan repeat finding dalam audit IT?
    Temuan baru adalah masalah yang baru pertama kali diidentifikasi oleh auditor, sedangkan repeat finding adalah temuan yang sebelumnya sudah pernah direkomendasikan perbaikannya dan dinyatakan selesai, namun muncul kembali pada periode audit berikutnya karena akar masalahnya belum benar-benar terselesaikan.
  2. Apakah repeat finding selalu berarti tim IT tidak bekerja dengan baik?
    Tidak selalu. Repeat finding lebih sering menunjukkan adanya kelemahan dalam proses root cause analysis, kepemilikan tindak lanjut, atau dukungan sumber daya, dibandingkan semata-mata kinerja individu tim IT. Faktor organisasi seperti turnover karyawan dan prioritas anggaran juga berperan besar.
  3. Bagaimana cara melakukan root cause analysis yang efektif untuk temuan audit?
    Beberapa metode yang umum digunakan antara lain teknik 5 Whys (menggali pertanyaan “mengapa” secara berlapis) dan fishbone diagram, yang membantu mengidentifikasi penyebab mendasar di balik sebuah masalah, bukan hanya gejala yang tampak di permukaan.
  4. Apakah repeat finding dapat memengaruhi hasil audit kepatuhan seperti audit POJK atau PBI?
    Ya. Bagi sektor yang diawasi regulator seperti jasa keuangan, riwayat repeat finding dapat menjadi perhatian khusus regulator terhadap kualitas manajemen risiko dan tata kelola perusahaan, dan berpotensi meningkatkan intensitas pengawasan di masa mendatang.
  5. Apa itu Corrective Action Plan (CAPA) dan mengapa penting dalam audit?
    CAPA adalah rencana tindak lanjut yang disusun untuk menyelesaikan temuan audit secara terstruktur, mencakup langkah perbaikan, pihak yang bertanggung jawab, dan target waktu penyelesaian. CAPA yang dipantau secara konsisten membantu memastikan perbaikan benar-benar terlaksana, bukan hanya tercatat di dokumen.
  6. Apakah menggunakan kerangka kerja seperti COBIT atau ISO 27001 bisa mencegah repeat finding?
    Kerangka kerja tersebut dirancang dengan prinsip perbaikan berkelanjutan yang dapat membantu organisasi memantau tingkat kematangan proses secara terukur dari waktu ke waktu, sehingga perbaikan yang dilakukan lebih terstruktur dan berpotensi lebih mencegah berulangnya temuan yang sama dibanding pendekatan tambal sulam.
  7. Siapa yang seharusnya bertanggung jawab memantau status tindak lanjut temuan audit?
    Idealnya, pemantauan dilakukan oleh pemilik (owner) temuan yang ditugaskan secara spesifik, didukung oleh fungsi audit internal atau tim GRC yang memantau keseluruhan status secara berkala, dan dilaporkan secara rutin kepada manajemen puncak untuk memastikan akuntabilitas berjalan di semua tingkatan.
  8. Berapa lama waktu yang idealnya dibutuhkan untuk menyelesaikan temuan audit agar tidak berulang? Tidak ada durasi baku, karena bergantung pada kompleksitas akar masalah. Namun yang lebih penting dibanding kecepatan adalah memastikan penyelesaian bersifat substantif dan tervalidasi, karena penyelesaian yang terburu-buru justru berisiko tinggi menjadi repeat finding di periode berikutnya.

 

Rate this post

Leave a Reply

Your email address will not be published. Required fields are marked *

This site uses Akismet to reduce spam. Learn how your comment data is processed.

Artikel Lainnya

Ilustrasi ancaman shadow AI di lingkungan kerja perusahaan

Bahaya Shadow AI: Waktunya Bangun Tata Kelola AI Perusahaan

ilustrasi dokumen repeat finding dalam audit it

Cara Ampuh Mencegah Repeat Finding dalam Audit IT

Ilustrasi denda UU PDP dan sanksi perlindungan data pribadi

Awas Denda UU PDP! Cek Kepatuhan Perusahaan

Ilustrasi kematangan cyber security perusahaan dalam mencegah peretasan

8 Tanda Mutlak Cyber Security Perusahaan Anda Belum Matang

Ilustrasi celah keamanan siber pada jaringan organisasi dan firewall.

7 Titik Lemah Keamanan TI Paling Sering Diabaikan Organisasi

Ilustrasi kerugian serangan siber pada sistem operasional perusahaan

Biaya Mahal Sebuah Kebobolan: Berapa Harga Serangan Siber?

Hubungi Kami

Contact Us

Roni Sulistyo Sutrisno

Andrianto Moeljono

Ajeng Diana Dewi Mursyidi

Dicky Tori Dwi Darmawan

Riska Oktaviani

Membership

    Pendaftaran Komunitas

    Contact Us