Untuk menilai keidentikan antara dua file (softcopy), cara yang paling praktis dan meyakinkan adalah dengan membandingkan checksum atau hash code kedua file. Dalam menyusun kertas kerja pemeriksaan, metode hash checksum dapat digunakan sebagai bukti bahwa file yang diterima (dan selanjutnya dianalisis) oleh Pemeriksa adalah benar-benar file yang diserahkan oleh Auditee, bukan file yang dimodifikasi tanpa sepengetahuan Auditee.
Segera saat file diterima, hash checksum dari file yang diterima dari Auditee dituangkan dalam suatu berita acara serah terima yang ditandatangani Pemeriksa dan Auditee. Apabila jumlah file lumayan banyak, daripada membuat daftar hash checksum file-file yang ada, kita bisa meng-archive-nya menjadi satu file tunggal untuk diambil hash code-nya. Proses archive ini dapat menggunakan aplikasi kompresi seperti WinZip, WinRar, IZarc, 7zip,dll. Prosedur dan dokumentasi serah-terima data dijital menggunakan metode
hash code, suatu saat akan diuraikan lebih lanjut dalam tulisan
tersendiri.
Karena kegiatan hash-hash-an ini bukan sesuai yang lazim, maka usaha ekstra mungkin perlu dilakukan untuk menjelaskan kepada pihak auditee penandatangan berita acara serah terima file. Bayangkan saja dalam situasi di depan pengadilan, sang penanda tangan menyatakan tidak mengerti dengan apa yang dulu telah ditandatanganinya dengan alasan terlalu teknis (…dan hakim-pun berpendapat yang sama), bukan tidak mungkin bukti pemeriksaan yang telah kita berita acarakan, diabaikan oleh Pak Hakim. Karena sesuai Pasal 1320 Kitab Undang Undang Hukum Perdata, sahnya perjanjian harus memenuhi empat syarat, yaitu adanya kesepakatan, kecakapan para pihak, pokok persoalan tertentu, dan suatu yang tidak terlarang. Kecakapan berhubungan dengan kemampuan para pihak membuat dan mengerti tentang isi perjanjian. Suatu pokok persoalan tertentu artinya bahwa yang diperjanjikan haruslah suatu hal atau barang yang cukup jelas. Selanjutnya di Pasal 1321 dinyatakan bahwa suatu persetujuan tidak mempunyai kekuatan jika diberikan karena kekhilafan atau diperoleh dengan paksaan atau penipuan.
Lalu, apa ada alternatif cara yang lain?
Pengalaman dulu waktu tugas audit dua PDAM, yaitu PDAM Kota Padang (Padang) sekitar thn 2001 dan PDAM Tirta Daroy (Banda Aceh) thn 2004 kami membutuhkan file-file database dari aplikasi pembuatan tagihan pemakaian air pelanggan yang cukup banyak jumlahnya. File database tersebut akan digunakan untuk analisis ketepatan pengelompokan jenis pelanggan, tunggakan, tarif yang dikenakan, pemilihan sampel cek fisik pelanggan, dll. Tentu saja tim harus mengantisipasi sanggahan Auditee nantinya, saat ada permasalahan/temuan dengan mengatakan: "File database yang dianalisis oleh Pemeriksa bukan asli yang diberikan PDAM!".
Boro-boro untuk menjelaskan kepada auditee, saat itu kami sendiripun belum pernah mendengar apa itu hash. Cara manualpun kami lakukan. Untuk menjaga hal-hal yang tidak perlu di kemudian hari, maka tim berinisiatif meminta seluruh file database di-copy ke keping CD-R (bukan CD-RW ya) dan di sisi keping yang dapat ditulis, diminta penulisan nama dan tanda tangan pejabat terkait dengan spidol bertinta permanen. Murah dan simpel!
Selanjutnya untuk kebutuhan analisis, file-file dari CD kami copy ke hardisk sekalian untuk menguji readability data dari keping CD. Sedangkan CD itu sendiri kemudian disimpan dan diamankan untuk jaga-jaga.
Mengapa menggunakan CD-R, bukan CD-RW? Karena karakteristik CD-R yang hanya dapat ditulisi sekali, beda dengan CD-RW yang bisa ditulis-dihapus, sehingga penggunaan CD-R mengantisipasi tudingan bahwa file dalam CD telah dimodifikasi setelah diterima BPK. Zaman sekarang menggunakan DVD-R dual layer bahkan bisa menampung data hingga 8-9 Gb. Menggunakan flashdisk sebagai tambahan backup merupakan praktik yang baik karena flasdisk memberi kelebihan pada kepraktisan dan kecepatan akses yang lebih baik, sehingga keping CD tetap aman dalam penyimpanan.
Saya pikir, untuk me-maintain bukti audit berupa file (softcopy) yang tidak terbantahkan, penggunaan metode hash akan sempurna apabila dilengkapi dengan metode manual, yaitu dengan menyimpan file yang diterima ke kepingan CD yang ditandatangani oleh pihak auditee. Bahkan mungkin karena agak primitifnya cara ini, pengamanan file plus tanda tangan langsung di media CD bisa saja lebih dapat diterima oleh orang banyak dan lebih sulit untuk dibantah kebenarannya.
Apabila Anda menggunakan cara ini yang mesti diingat adalah, karena media CD memiliki kelemahan dalam ketahanan/jangka waktu pakai, maka harus dilakukan penyimpanan yang lebih baik supaya dapat bertahan lebih lama. Artinya, sangat disarankan Pemeriksa tetap menyiapkan backup copy di flasdisk plus berita acara serah terima yang mendokumentasikan hashes/checksums file-file yang diterima dari Auditee.
UPDATE:
Tidak ada komentar:
Posting Komentar
Known commenters are the best, anonymous' are also welcome, spammers please go away.