Overview
o American Society for Quality (ASQ) adalah kelompok profesional audit internal unik
yang memiliki standar, kode etik, dan sebutan sertifikasi profesional. Disebut auditor
kualitas dan bukan hanya auditor internal, profesional ini memiliki tanggung jawab
untuk meninjau berbagai standar ISO di perusahaan terkait kepatuhan, penyederhanaan
pekerjaan, dan proses yang berkaitan dengan kualitas. Auditor berkualitas secara
historis telah beroperasi di pabrik di perusahaan manufaktur.
o Profesional audit internal IIA klasik harus memiliki pemahaman tentang aktivitas
Auditor Quality dan bagaimana pekerjaan mereka sesuai dengan keseluruhan
lingkungan tata kelola perusahaan. Bab ini mengulas peran auditor berkualitas dalam
suatu perusahaan, praktik dan standar mereka. Ada banyak kesamaan antara kegiatan
auditor ini dan auditor internal IIA. Dengan berkembangnya konvergensi kegiatan
perusahaan untuk memperbaiki tata kelola dan pengendalian internal, kita dapat
melihat kedua kelompok audit internal ini menjadi lebih selaras.
Duties and Responsibilities of Quality Auditors
o Beberapa auditor quality juga termasuk dalam IIA, mereka memiliki organisasi
profesional terpisah mereka sendiri, Quality Audit Division (QAD) dari ASQ. Organisasi
profesional ASQ, bertanggung jawab untuk banyak kegiatan dalam manajemen mutu,
sebelumnya menunjuk pada afiliasi profesional QAD sebagai "auditor quality«
o ASQ dan QAD-nya mengenali dan mendefinisikan beberapa tingkat aktivitas audit:
Self-audit Ini adalah audit kualitas yang dilakukan dalam perusahaan untuk
meninjau kepatuhan terhadap standar kualitas ISO dan sejenisnya.
Audit pihak kedua. Auditor berkualitas sering melakukan tinjauan untuk menilai
apakah pemasok mereka beroperasi sesuai dengan beberapa standar yang
ditentukan. Audit pihak kedua terjadi ketika auditor mutu perusahaan tersebut
mengunjungi pemasok untuk menguji kepatuhan terhadap beberapa standar.
Audit pihak ketiga Ini adalah audit yang dilakukan di perusahaan oleh organisasi
independen, seperti salah satu pendaftar ISO, atau auditor dari instansi
pemerintah, seperti Departemen Tenaga Kerja Administrasi Keselamatan dan
Kesehatan Kerja (OSHA) atau Federal Drug Administration (FDA).
Role of the Quality Auditor
o Audit kualitas mencakup terminologi yang mungkin tidak biasa bagi auditor internal IIA-
warisan dan manajer terbiasa bekerja dengan mereka. audit kualitas dapat ditunjuk
sebagai audit produk, proses, dan sistem berdasarkan cakupan dan tujuannya.
Audit produk adalah penilaian terhadap produk akhir atau layanan dan ulasan
tentang "kesesuaian untuk penggunaan" terhadap persyaratan atau spesifikasi
yang disebutkan. Dalam pengertian manufaktur, audit produk akan dilakukan
pada beberapa item yang baru saja lulus inspeksi terakhir dan siap dikirim ke
pelanggan.
Audit proses adalah jenis audit utama yang dilakukan oleh auditor kualitas. Ini
adalah ulasan untuk memverifikasi kesesuaian dengan standar, metode,
prosedur, atau persyaratan lainnya.
Audit sistem bukan merupakan tinjauan sistem yang berhubungan dengan TI
namun audit yang mencakup semua aspek sistem kontrol. Jenis tinjauan ini
dilakukan untuk memverifikasi, melalui bukti obyektif, bahwa semua aspek
sistem manajemen dan rencana organisasi diterapkan untuk memenuhi
persyaratan yang teridentifikasi secara memadai.
Performing ASQ Quality Audits
o Audit kualitas audit berbasis ASQ-agak berbeda dari kebanyakan internal IIA -orientasi
audit mereka adalah review kinerja untuk menilai kepatuhan peraturan (compliance
rule) atau untuk memenuhi persyaratan standar ISO atau sertifikasi. Mereka juga
penting sebagai umpan balik utama dalam sistem mutu perusahaan untuk menjaga agar
manajemen tetap mengetahui kepatuhan terhadap prosedur sistem terdokumentasi.
Sebagaimana dibahas, audit kualitas selanjutnya disebut audit internal atau self-audit
dan kemudian audit pihak kedua atau ketiga. Berdasarkan peraturan ini, audit kualitas
dapat dilakukan, sebagai audit mandiri, oleh orang-orang yang sangat dekat dengan
operasional proses sebenarnya. Audit kualitas biasanya tidak dilakukan oleh
departemen audit internal yang terpisah tetapi oleh orang-orang di perusahaan yang
memiliki objektivitas.
o Konsep dasar dalam pekerjaan Deming (Deming memperkenalkan banyak teknik
manajemen mutu yang awalnya diabaikan oleh A.S) dan komponen kegiatan audit
kualitas adalah siklus Plan / Do / Check / Act (PDCA). PDCA adalah siklus perbaikan
terus-menerus dimana tim auditor berkualitas, antara lain, akan berupaya memperbaiki
proses. Tim akan menggunakan siklus PDCA untuk meninjau sebuah proses dengan
mengikuti lima langkah:
Langkah 1. Plan. Apa tujuan tim audit quality? Perubahan apa yang diinginkan,
dan data apa yang dibutuhkan? Jenis tes apa yang dibutuhkan? Bagaimana
operasi akan diamati?
Langkah 2. Do. Ikuti atau jalankan tes yang direncanakan.
Langkah 3. Check. Amati hasil tes untuk mengembangkan kesimpulan
pendahuluan.
Langkah 4. Action. Pelajari semua hasil tes untuk menilai apa yang dipelajari dan
apa yang bisa diprediksi dari latihan. Berdasarkan hasil ini, tentukan area untuk
perbaikan proses.
Langkah 5. Ulangi langkah sambil mendapatkan lebih banyak pengetahuan.
Performing ASQ Quality Audits
o Audit kualitas ASQ seringkali jauh lebih luas daripada audit internal IIA-warisan
tradisional. Auditor berkualitas sering tertarik untuk mematuhi standar yang berlaku
dengan tujuan untuk:
Verifikasi bahwa sistem yang diterapkan bekerja
Verifikasi bahwa program pelatihan pendukung hemat biaya
Identifikasi orang atau kelompok yang tidak mengikuti prosedur
Memberikan bukti kepada manajemen dan pihak lain bahwa prosesnya berjalan
sebagaimana
Overview
o Bab ini memberikan gambaran umum dan pengenalan beberapa standar ISO yang sangat
penting bagi auditor internal. Fokusnya adalah pada standar kualitas ISO 9001 dan standar
keamanan komputer ISO 27001. Bab ini juga memperkenalkan beberapa standar ISO
lainnya, termasuk standar internasional untuk sistem manajemen TI dan manajemen mutu.
o ISO bertanggung jawab untuk mengembangkan dan menerbitkan berbagai standar
internasional di banyak bidang bisnis dan proses. Beberapa standar ini sangat luas, seperti
ISO 14001, yang mencakup sistem pengendalian lingkungan yang efektif, sementara yang
lain sangat rinci dan tepat, seperti standar yang mencakup ukuran dan ketebalan kartu
kredit plastik. Standar ISO yang luas penting karena memungkinkan semua perusahaan di
seluruh dunia untuk berbicara dalam bahasa yang sama ketika mereka dapat mengklaim
bahwa mereka memiliki, misalnya, sistem pengendalian lingkungan ISO 14001 yang efektif.
Yang rinci juga sangat penting untuk memungkinkan, misalnya, mesin ATM di manapun di
dunia untuk menerima ukuran dan ketebalan kartu kredit yang sama.
o Standar ISO dikembangkan melalui upaya kolaboratif dari banyak organisasi penetapan
standar nasional, seperti American National Standards Institute dan kelompok serupa di
seluruh dunia. Prosesnya dimulai dengan kebutuhan standar yang diakui secara umum di
beberapa daerah. Contohnya adalah ISO 27001, yang menguraikan persyaratan tingkat
tinggi untuk sistem manajemen keamanan informasi yang efektif. Standar ISO 27001
dikembangkan melalui upaya komite teknis internasional yang disponsori oleh ISO bekerja
sama dengan kelompok penetapan standar internasional Electrotechnical Commission.
Standar tersebut tidak spesifik dalam persyaratan terperinci namun berisi banyak
pernyataan tingkat tinggi sesuai dengan garis "organisasi. . . . "
o Banyak perusahaan A.S. pertama kali terlibat dengan standar internasional ini melalui
peluncuran standar sistem manajemen mutu ISO 9000 di tahun 1980an. Pada saat itu,
banyak perusahaan A.S. dihadapkan dengan standar desain berkualitas tinggi yang
ditemukan di banyak produk asing, seperti mobil Jepang. Perusahaan Jepang telah
merancang banyak produk berkualitas tinggi menyusul apa yang menjadi ISO 9000, dan
produsen A.S. mulai melangkah ke piring dengan memodifikasi proses mereka sendiri agar
sesuai dengan standar kualitas produk yang lebih tinggi ini. Kepatuhan terhadap standar ISO
9000 memungkinkan perusahaan-perusahaan di seluruh dunia merancang operasinya
sesuai dengan standar tunggal yang konsisten dan kemudian menegaskan bahwa mereka
memiliki sistem manajemen mutu yang sesuai dengan standar internasional.
ISO Standards Overview
a. ISO 9001 Quality Management Systems and Sarbanes-Oxley
ISO 9000 adalah keluarga penting standar untuk sistem manajemen mutu. Dipertahankan
oleh ISO, standar ini mencakup persyaratan untuk hal-hal seperti:
Memantau proses untuk memastikannya efektif
Menjaga catatan yang memadai
Memeriksa output untuk cacat, dengan tindakan korektif yang sesuai bila
diperlukan
Secara teratur meninjau proses individu dan sistem mutu itu sendiri untuk
efektivitas
Memfasilitasi perbaikan terus-menerus
i. ISO 9000 DOCUMENTATION PROCESSES
Untuk memperjelas, ISO 9000 bukan hanya satu standar namun serangkaian standar
dan pedoman "dapat disertifikasi":
o ISO 9001. Certifiable standard dealing with design
o ISO 9002. Certifiable standard dealing with manufacturing
o ISO 9003. Certifiable standard dealing with manufacturing and assembly
o ISO 9004. Guideline defining a quality system
b. IT Security Standards: ISO 17799
ISO 17799 adalah standar tentang informasi dan IS secara umum dan inklusif. Karena
informasi semacam itu didapat dalam berbagai bentuk, standar tersebut mengambil
pendekatan yang sangat luas dan mencakup berbagai standar keamanan yang
mencakup keamanan terkait:
o File elektronik data dan perangkat lunak
o Semua format dokumen kertas termasuk bahan cetak, catatan tangan, dan
bahkan foto
o Rekaman video dan audio
o Percakapan telepon dan juga e-mail, faks, video, dan bentuk pesan lainnya
c. IT Security Technique Requirements: ISO 27001
Sementara ISO 17799 adalah kode praktik tingkat tinggi yang mencakup kontrol
keamanan, ISO 27001 adalah apa yang didefinisikan oleh ISO sebagai "spesifikasi" untuk
Sistem Manajemen Keamanan Informasi. Artinya, standar ini dirancang untuk mengukur,
memantau, dan mengendalikan manajemen keamanan dari perspektif top-down.
Standar dasarnya menjelaskan bagaimana menerapkan ISO 17799, dan ini
mendefinisikan penerapan standar ini sebagai proses enam bagian:
o Defin a security policy. Komponen mendasar dari standar apa pun adalah
kebutuhan akan pernyataan kebijakan formal yang disetujui oleh
manajemen senior. Semua aspek kepatuhan lainnya dari standar akan
diukur terhadap pernyataan kebijakan ini.
o Defin the scope of the ISMS. mendefinisikan keamanan secara luas yang
mungkin tidak sesuai atau dibutuhkan untuk semua perusahaan. Setelah
menetapkan kebijakan keamanan tingkat tinggi, perusahaan perlu
menentukan ruang lingkup ISMS yang akan diterapkan. Misalnya, ISO 17799
mendefinisikan unsur persyaratan keamanan seperti rekaman video dan
audio. Jika ini tidak diperlukan untuk perusahaan tertentu, maka akan
secara khusus dikecualikan untuk lingkup ISMS-nya.
o Undertake a risk assessment. Perusahaan harus mengidentifikasi
metodologi penilaian risiko yang sesuai dengan lingkungan ISMS-nya,
kemudian mengembangkan kriteria untuk menerima risiko dan menentukan
tingkat risiko yang dapat diterima.
o Manage the risk.. Ini adalah proses utama yang mencakup identifikasi risiko
formal, analisis risiko, dan pilihan untuk pengobatan risiko tersebut. Yang
terakhir ini dapat mencakup penerapan pengendalian penghindaran risiko
yang tepat, menerima risiko, mengambil langkah lain untuk
menghindarinya, atau mengalihkan risiko ke pihak lain, seperti perusahaan
asuransi atau pemasok.
o Select control objectives and controls to be implemented. Ini adalah proses
audit dan kontrol yang sama yang dibahas di bagian lain buku ini, seperti
dalam Bab 15 tentang perencanaan dan pelaksanaan audit internal. Untuk
setiap tujuan pengendalian yang ditetapkan, perusahaan harus menentukan
prosedur pengendalian yang tepat.Prepare a statement of applicability. Ini
adalah dokumentasi formal yang diperlukan untuk menyelesaikan proses
dokumentasi ISMS. Dokumentasi tersebut sesuai dengan tujuan
pengendalian dengan prosedur untuk mengelola dan menerapkan ISMS.
d. Service Quality Management: ISO 20000
ISO 20000 meminta perusahaan untuk mengadopsi dan menyatakan bahwa mereka telah
menerapkan praktik terbaik ITIL yang dibahas di Bab 8. Secara formal, standar ini
"mempromosikan penerapan pendekatan proses terpadu untuk secara efektif
memberikan layanan yang dikelola untuk memenuhi kebutuhan bisnis dan pelanggan."
ISO 20000 adalah standar global pertama untuk pengelolaan layanan TI dan sepenuhnya
kompatibel dan mendukung kerangka kerja ITIL. Ini pasti akan berdampak signifikan
terhadap penggunaan dan penerimaan praktik terbaik ITIL dan keseluruhan lanskap
pengelolaan layanan TI.
Di tahun-tahun depan, auditor internal harus melihat peningkatan tingkat pengakuan
akan pentingnya standar layanan terkait ISO. Dalam ekonomi global kita yang semakin
meningkat, tidak peduli pembatasan perdagangan dunia nasional apa pun, standar
internal diperlukan untuk mendefinisikan praktik umum dan untuk memfasilitasi
komunikasi dengan lebih baik. Ketika sebuah perusahaan atau organisasi jasa di manapun
di dunia telah mencapai sertifikasi manajemen mutu ISO 9000, pelanggan dan pengguna
dapat mengharapkan tingkat minimum dokumentasi dan standar proses tertentu. Standar
keamanan TI ISO 27001 harus segera mencapai tingkat kepentingan dan pengakuan yang
serupa. Kita harus melihat peningkatan tren konvergensi antara ISO dan standar di bidang
lain. Auditor internal di semua tingkatan harus memahami dan menerapkan standar ISO
yang penting ini.
Standar audit sistem manajemen mutu ISO 19011 sangat berkaitan dengan standar audit
kualitas ASQ yang dibahas pada Bab 31, dan ini menguraikan empat sumber keputusan /
dukungan penting untuk perencanaan, pelaksanaan, dan evaluasi audit kualitas dan / atau
lingkungan yang efisien:
o Kebutuhan akan penjelasan yang jelas tentang prinsip-prinsip sistem
manajemen audit
o Bimbingan pengelolaan program audit
o Pedoman pelaksanaan audit internal atau eksternal
o Nasihat mengenai kompetensi dan evaluasi auditor
Standar ISO ini menguraikan lima prinsip audit:
o Perilaku etis. Auditor yang melakukan audit ISO 19011 harus jujur dan
melakukan hal yang benar.
o Presentasi yang adil. Auditor harus bersikap adil saat melaporkan hasil.
o Latihan karena perawatan profesional. Auditor harus melakukan apa yang
wajar dan biasanya diharapkan.
o Kemerdekaan. Auditor harus menghindari konflik kepentingan untuk
memastikan integritas mereka
o Pendekatan berbasis bukti. Auditor harus menyelidiki terlebih dahulu dan
kemudian melaporkan fakta
MINGGU 13 - FRAUD DETECTION AND PREVENTION (Chapter 25)
Deinisi
o Fraud/Kecurangan adalah tindakan yang disengaja untuk menipu pihak lain, dimana korban
akan mengalami kerugian dan/atau pelaku mendapatkan keuntungan (Managing the
Business Risk of Fraud, a Practical Guide, the IIA, the AICPA and ACFE, 2008).
o Risiko kecurangan adalah risiko bisnis atas kerugian material seperti uang, aset perusahaan,
pabrik, peralatan, reputasi, dan juga informasi. Risiko kecurangan dapat berasal dari dalam
maupun luar perusahaan dan seringkali melibatkan kolusi antar individual atau grup. Risiko
kecurangan tidak berarti bahwa kecurangan telah timbul, tapi lebih mengarah kepada
situasi yang memungkinkan kecurangan untuk timbul di perusahaan
Mengapa Fraud menjadi perhatian kita?
o “Kecurangan dapat terjadi dalam berbagai macam organisasi dimanapun di dunia, dan
dalam berbagai sektor kegiatan ekonomi, dan pelaku-pelakunya dapat ditemukan dalam
semua tingkat struktur organisasi. Kecurangan tidak memandang batasan-batasan budaya
dan nasional.” (Confederation of Institutes of Internal Auditing)
Unsur-unsurKecurangan
o Act/Tindakan
o Deception/Penipuan
o Dishonesty/Ketidakjujuran
o Concealment/Penyembunyian
o Intent/Niat
o Loss & benefit/Kerugian& keuntungan
o Diversion/Pengalihan
o Fraud
Mengapa kecurangan terjadi? Fraud Awareness
o Banyak studi menemukan bahwa karyawan yang melakukan kecurangan melakukannya
karena faktor kesempatan, tekanan dan rasionalisasi–Segitiga Kecurangan (Fraud
Triangle) Kerangka ini adalah alat bantu yang berguna dalam memahami dan mengelola
risiko kecurangan
o Segituga Kecurangan
o Fenomena Gunung ES