MINGGU 12

PEMERIKSAAN MANAJEMEN
Bahan Kajian:
Pemahaman dan penjelasan peran dari Internal Auditor
yang berkualitas, dalam kaitannya dengan pengendalian
proyek audit yang berkualitas
Sub-CPMK :
─ Menunjukkan sikap bertanggungjawab atas pekerjaan
di bidang keahliannya secara mandiri
─ Memahami etika bisnis dan kode etik profesi akuntansi
─ Mampu memahami dan menjelaskan peran dari Internal
Auditor yang berkualitas.
Referensi:
Robert Moeller (2016), Brink’s Modern Internal Auditing – A
common Body of Knowledge, 8th ed., New Jersey: John Wiley &
Sons, Inc.

Minggu 01 Page 1
Pemeriksaan Manajemen
 BOBOT NILAI
• HARIAN : 30%
• UTS : 35%
• UAS : 35%

02/12/2020 2
Minggu Sub-CPMK Bahan Kajian
Ke- (Kemampuan akhir yg direncanakan) (Materi Pembelajaran)
Mampu menjelaskan urgensi pengendalian dan
1 Pengertian pengendalian dan penentuan resiko.
penentuan resiko
Overview tahapan umum pemeriksaan manajemen, mulai dari pembuatan annual audit
Mampu menjelaskan tahapan umum pemeriksaan schedule, survei pendahuluan, program audit, pekerjaan lapangan, penyusunan kertas
2,3
manajemen. kerja pemeriksaan, pelaporan audit, dan tanggapan audit serta tindak lanjut atas hasil
pemeriksaan.
Mampu menjelaskan tujuan dan hal-hal yang dilakukan Pengertian proses, tujuan dan hal-hal yang perlu diperhatikan dalam survey
4
dalam survey pendahuluan pendahuluan beserta dokumen pendukungnya.
Mampu menjelaskan pembuatan program audit untuk Pengertian program audit serta hubungan pengendalian, risiko dengan pembuatan
5
pemeriksaan manajemen. program audit dalam pemeriksaan manajemen
Mampu menjelaskan tahapan pekerjaan lapangan dalam
6 Pemahaman dalam melakukan pekerjaan audit lapangan dan pelaksanaannya
pemeriksaan manajemen
Mampu menyusun kertas kerja audit dari tahapan
7 Kemampuan dalam penyusunan kertas kerja audit dari tahap pekerjaan lapangan
pekerjaan lapangan yang dilakukan
8 Ujian Tengah Semester
Mampu menjelaskan proses dan efektivitas dari Control Pengertian proses dan efektivitas dari Control Self Assessment (CSA) dan
9
Self Assessment (CSA) dan Benchmarking. benchmarking.
Mampu menjelaskan pembuatan laporan audit serta Pengertian dalam pembuatan Laporan Audit (Laporan Audit Umum, Laporan
10
merespon tanggapan yang diberikan auditee Manajemen Eksekutif, dan tanggapan hasil audit
Mampu menjelaskan dalam menyusun skedul audit
11 Kemampuan dalam menyusun schedule audit jangka panjang.
jangka panjang, dan membangun compliance culture.
Mampu menjelaskan pengendalian proyek audit dan Pemahaman dan penjelasan peran dari Internal Auditor yang berkualitas, dalam
12
menilai kualitas audit yang dilakukan. kaitannya dengan pengendalian proyek audit yang berkualitas
Mampu menjelaskan peran audit dalam mendeteksi dan
13 Pemahaman dalam melakukan audit kecurangan termasuk cara mendeteksinya.
melakukan audit kecurangan
Mampu menjelaskan peran audit dalam menghadapi
Pemahaman dan penjelasan peran dari Internal Auditor yang berkualitas, dalam
14 ancaman dan kesempatan dari faktor eksternal yang
menanggapi ancaman dan kesempatan dari faktor eksternal
berpengaruh pada perusahaan
Mampu menjelaskan dan menjelaskan hubungan auditor
Pemahaman dan mampu menjelaskan hubungan Internal Audit, Eksternal Audit,
15 internal dengan auditor eksternal, komite audit dan
Komite Audit dan Dewan Komisaris.
dewan komisaris
16 Ujia Akhir Semester Minggu 01 Page
3
 Pengendalian proyek audit dan jaminan kualitas
audit
CAPAIAN PEMBELAJARAN:
Mahasiswa memahami pengendalian proyek audit dan
menilai kualitas audit yang dilakukan

4
Quality Assurance Auditing
and ASQ Standards

CHAPTER 31

Robert Moeller (2016), Brink’s Modern Internal Auditing – A common

Body of Knowledge, 8th ed., New Jersey: John Wiley & Sons, Inc.

5
Quality Assurance Auditing and ASQ Standards
Overview
• American Society for Quality (ASQ) adalah kelompok profesional audit internal unik yang
memiliki standar, kode etik, dan sebutan sertifikasi profesional. Disebut auditor kualitas dan
bukan hanya auditor internal, profesional ini memiliki tanggung jawab untuk meninjau berbagai
standar ISO di perusahaan terkait kepatuhan, penyederhanaan pekerjaan, dan proses yang
berkaitan dengan kualitas. Auditor berkualitas secara historis telah beroperasi di pabrik di
perusahaan manufaktur.
• Profesional audit internal IIA klasik harus memiliki pemahaman tentang aktivitas Auditor Quality
dan bagaimana pekerjaan mereka sesuai dengan keseluruhan lingkungan tata kelola
perusahaan. Bab ini mengulas peran auditor berkualitas dalam suatu perusahaan, praktik dan
standar mereka. Ada banyak kesamaan antara kegiatan auditor ini dan auditor internal IIA.
Dengan berkembangnya konvergensi kegiatan perusahaan untuk memperbaiki tata kelola dan
pengendalian internal, kita dapat melihat kedua kelompok audit internal ini menjadi lebih
selaras.

6
Quality Assurance Auditing and ASQ Standards
Duties and Responsibilities of Quality Auditors
• Beberapa auditor quality juga termasuk dalam IIA, mereka memiliki organisasi profesional
terpisah mereka sendiri, Quality Audit Division (QAD) dari ASQ. Organisasi profesional ASQ,
bertanggung jawab untuk banyak kegiatan dalam manajemen mutu, sebelumnya menunjuk
pada afiliasi profesional QAD sebagai "auditor quality«
• ASQ dan QAD-nya mengenali dan mendefinisikan beberapa tingkat aktivitas audit:
 Self-audit Ini adalah audit kualitas yang dilakukan dalam perusahaan untuk meninjau
kepatuhan terhadap standar kualitas ISO dan sejenisnya.
 Audit pihak kedua. Auditor berkualitas sering melakukan tinjauan untuk menilai apakah
pemasok mereka beroperasi sesuai dengan beberapa standar yang ditentukan. Audit
pihak kedua terjadi ketika auditor mutu perusahaan tersebut mengunjungi pemasok untuk
menguji kepatuhan terhadap beberapa standar.
 Audit pihak ketiga Ini adalah audit yang dilakukan di perusahaan oleh organisasi
independen, seperti salah satu pendaftar ISO, atau auditor dari instansi pemerintah,
seperti Departemen Tenaga Kerja Administrasi Keselamatan dan Kesehatan Kerja (OSHA)
atau Federal Drug Administration (FDA).
7
Quality Assurance Auditing and ASQ Standards
Role of the Quality Auditor
Audit kualitas mencakup terminologi yang mungkin tidak biasa bagi auditor internal IIA-warisan
dan manajer terbiasa bekerja dengan mereka. audit kualitas dapat ditunjuk sebagai audit produk,
proses, dan sistem berdasarkan cakupan dan tujuannya.
• Audit produk adalah penilaian terhadap produk akhir atau layanan dan ulasan tentang
"kesesuaian untuk penggunaan" terhadap persyaratan atau spesifikasi yang disebutkan. Dalam
pengertian manufaktur, audit produk akan dilakukan pada beberapa item yang baru saja lulus
inspeksi terakhir dan siap dikirim ke pelanggan.
• Audit proses adalah jenis audit utama yang dilakukan oleh auditor kualitas. Ini adalah ulasan
untuk memverifikasi kesesuaian dengan standar, metode, prosedur, atau persyaratan lainnya.
• Audit sistem bukan merupakan tinjauan sistem yang berhubungan dengan TI namun audit yang
mencakup semua aspek sistem kontrol. Jenis tinjauan ini dilakukan untuk memverifikasi, melalui
bukti obyektif, bahwa semua aspek sistem manajemen dan rencana organisasi diterapkan untuk
memenuhi persyaratan yang teridentifikasi secara memadai.

8
Quality Assurance Auditing and ASQ Standards
Performing ASQ Quality Audits
Audit kualitas audit berbasis ASQ-agak berbeda dari kebanyakan internal IIA -orientasi audit mereka adalah
review kinerja untuk menilai kepatuhan peraturan (compliance rule) atau untuk memenuhi persyaratan standar
ISO atau sertifikasi. Mereka juga penting sebagai umpan balik utama dalam sistem mutu perusahaan untuk
menjaga agar manajemen tetap mengetahui kepatuhan terhadap prosedur sistem terdokumentasi.
Sebagaimana dibahas, audit kualitas selanjutnya disebut audit internal atau self-audit dan kemudian audit
pihak kedua atau ketiga. Berdasarkan peraturan ini, audit kualitas dapat dilakukan, sebagai audit mandiri, oleh
orang-orang yang sangat dekat dengan operasional proses sebenarnya. Audit kualitas biasanya tidak dilakukan
oleh departemen audit internal yang terpisah tetapi oleh orang-orang di perusahaan yang memiliki objektivitas.
Konsep dasar dalam pekerjaan Deming (Deming memperkenalkan banyak teknik manajemen mutu yang
awalnya diabaikan oleh A.S) dan komponen kegiatan audit kualitas adalah siklus Plan / Do / Check / Act (PDCA).
PDCA adalah siklus perbaikan terus-menerus dimana tim auditor berkualitas, antara lain, akan berupaya
memperbaiki proses. Tim akan menggunakan siklus PDCA untuk meninjau sebuah proses dengan mengikuti
lima langkah:
Langkah 1. Plan. Apa tujuan tim audit quality? Perubahan apa yang diinginkan, dan data apa yang dibutuhkan?
Jenis tes apa yang dibutuhkan? Bagaimana operasi akan diamati?
Langkah 2. Do. Ikuti atau jalankan tes yang direncanakan.
Langkah 3. Check. Amati hasil tes untuk mengembangkan kesimpulan pendahuluan.
Langkah 4. Action. Pelajari semua hasil tes untuk menilai apa yang dipelajari dan apa yang bisa diprediksi dari 9
latihan. Berdasarkan hasil ini, tentukan area untuk perbaikan proses.
Langkah 5. Ulangi langkah sambil mendapatkan lebih banyak pengetahuan.
Quality Assurance Auditing and ASQ Standards
Performing ASQ Quality Audits
Audit kualitas ASQ seringkali jauh lebih luas daripada audit internal IIA-warisan tradisional. Auditor berkualitas
sering tertarik untuk mematuhi standar yang berlaku dengan tujuan untuk:
• Verifikasi bahwa sistem yang diterapkan bekerja
• Verifikasi bahwa program pelatihan pendukung hemat biaya
• Identifikasi orang atau kelompok yang tidak mengikuti prosedur
• Memberikan bukti kepada manajemen dan pihak lain bahwa prosesnya berjalan sebagaimana
didokumentasikan

10
Quality Assurance Auditing and ASQ Standards
Quality Auditors and the IIA Internal Auditor
• Istilah quality auditing sedang digantikan dengan hanya auditing dalam publikasi ASQ dan dalam beberapa
standar ISO. Terminologi yang digunakan dalam standar IIA dan ISO semakin konsisten dengan revisi masing-
masing selama beberapa tahun terakhir. ISO telah mendefinisikan audit sebagai "proses yang sistematis,
independen dan terdokumentasi untuk mendapatkan bukti audit dan mengevaluasinya secara obyektif untuk
menentukan sejauh mana kriteria audit terpenuhi." 1 Definisi IIA mengenai audit internal, yang dibahas pada
Bab 7, berisi beberapa kualitas kata yang berhubungan: jaminan, penambahan nilai, manajemen risiko,
sistematis, disiplin, kontrol, dan orientasi proses. Beberapa integrasi tampaknya terjadi dalam terminologi
terhadap generic assessment and business process improvement model.
• Semakin banyak perusahaan di seluruh dunia mencari pendaftaran ISO, dan standar ISO 9000 menjadi lebih
berorientasi pada proses, fokus pada pelanggan dan bisnis. Dengan penekanan pada "efektivitas," sebuah
perusahaan yang terdaftar ISO 9000 harus menunjukkan efektivitas sistem mutu.
• Di beberapa perusahaan saat ini, chief executive executive (CAE) juga terlibat dengan fungsi audit kualitas
perusahaan setidaknya pada tingkat kesopanan. Ke depan, fungsi audit internal hampir pasti akan semakin
sadar akan aktivitas fungsi audit kualitas mereka dan harus mempertimbangkan pembagian sumber daya.
Meskipun akar historis mereka berbeda, kedua fungsi audit harus terlibat dengan fungsi audit nilai tambah
bagi perusahaan. Auditor internal IIA harus mengembangkan pemahaman yang lebih besar mengenai
prosedur audit mutu, dan kedua kelompok audit tersebut harus membangun hubungan komunikasi reguler
dan berkelanjutan. Meskipun masing-masing memiliki pendekatan dan tujuan yang berbeda, mungkin ada
beberapa hal untuk berbagi gagasan dan bahkan melakukan beberapa pekerjaan peninjauan bersama 11
Quality Assurance Auditing and ASQ Standards
Quality Assurance Reviews of the Internal Audit Function
• Audit internal Tinjauan QA adalah jenis audit khusus - lebih dari sekedar penilaian manajemen normal
terhadap operasi atau pernyataan auditor eksternal mengenai Standar Audit No. 702 external service
organizations review. Sementara standar IIA 560 panggilan untuk tiga tingkat tinjauan, bab ini terutama
berfokus pada tinjauan audit internal yang dilakukan oleh operasi audit internal yang normal, termasuk
anggota perusahaan lain atau bahkan departemen khusus dalam audit internal. Tinjauan ini memungkinkan
fungsi audit internal untuk menilai kualitas prosedurnya sendiri dan kepatuhannya terhadap standar audit
internal. Bagian ini menjelaskan elemen-elemen yang harus disertakan dalam program QA audit internal dan
menjelaskan bagaimana audit internal dapat membuat sebuah program untuk melakukan tinjauan ini.
a. Benefits of an Internal Audit Quality-Assurance Review
Laporan audit internal kepada komite audit memiliki hubungan yang erat dengan tingkat manajemen
yang sangat senior dan memiliki kontak dengan semua fungsi lainnya di perusahaan melalui tinjauan
operasional dan finansial. Namun, sebagai fungsi yang sangat khusus, audit internal tidak selalu
dipertimbangkan bila kebijakan dan prosedur pengukuran kinerja perusahaan lainnya ditetapkan. Ini
tidak berarti bahwa audit internal diabaikan.
Sebagai fungsi pendukung utama di perusahaan, audit internal memerlukan cara untuk mengukur
dirinya sendiri dan untuk menetapkan insentif untuk melakukan pekerjaan yang lebih baik. Ini adalah
salah satu manfaat nyata dari tinjauan QA audit internal. Sementara audit internal itu sendiri
merupakan penerima manfaat utama dari tinjauan ini, pemangku kepentingan lainnya di perusahaan
juga mendapat keuntungan dari program kajian QA audit internal yang kuat. Tinjauan ini
memungkinkan audit internal menunjukkan kepada manajemen bahwa mereka melakukan pekerjaan
dengan baik atau melakukan tindakan perbaikan jika diperlukan. Pihak lain, seperti badan pengatur, 12
juga dapat memanfaatkan ulasan ini, yang memberikan dasar untuk lebih memanfaatkan pekerjaan
departemen audit internal
Quality Assurance Auditing and ASQ Standards
Quality Assurance Reviews of the Internal Audit Function
a. Benefits of an Internal Audit Quality-Assurance Review (Cont’l)
(i) BENEFITS TO INTERNAL AUDIT
Penerima manfaat utama dari program tinjauan QA audit internal akan menjadi audit internal itu
sendiri. Kajian QA akan memungkinkan pengkajian di luar kegiatan audit internal sehari-hari
untuk menilai seberapa baik fungsi audit internal yang ada dilakukan dalam mematuhi standar
audit internal. Ini bisa menjadi manfaat berharga bagi fungsi audit internal modern.
Manajemen audit internal tidak selalu mengetahui seberapa baik perbandingannya dengan
kelompok audit internal lainnya dalam hal hal-hal seperti penggunaan otomasi audit, efisiensi
dalam melakukan tes audit, atau kebijakan perjalanan. CAE dapat mengumpulkan beberapa
informasi ini melalui kontak profesional mereka di pertemuan IIA atau kontak pribadi atau
profesional lainnya.
Tinjauan QA audit internal, dilakukan oleh pihak luar, dapat menunjuk ke area di mana beberapa
audit dilakukan dengan cara yang tidak sepenuhnya sesuai dengan standar atau efisiensi yang
lebih baik dapat dicapai. Misalnya, pendekatan pemilihan sampel yang digunakan dalam audit
tertentu mungkin terlalu besar. Meskipun hasil auditnya benar, sampel yang lebih kecil mungkin
telah menghasilkan kesimpulan audit yang sama namun dengan efisiensi yang lebih besar.
Sebagai hasil dari tinjauan QA tersebut, manajemen audit internal mungkin dapat memperbaiki
keseluruhan operasinya sendiri

13
Quality Assurance Auditing and ASQ Standards
Quality Assurance Reviews of the Internal Audit Function
a. Benefits of an Internal Audit Quality-Assurance Review (Cont’l)
ii. BENEFITS TO MANAGEMENT
Beberapa tingkat manajemen, mulai dari manajer yang secara langsung bertanggung jawab atas
area audit internal yang ditinjau ke komite audit, mendapat manfaat dari tinjauan QA audit
internal. Meskipun tim audit internal tidak boleh menunjukkan laporan peninjauan QA terbaru
kepada manajemen auditee pada proyek audit berikutnya, temuan program QA review yang
bagus harus menghasilkan audit yang lebih baik dan lebih efisien. Semua anggota manajemen -
dan manajer yang secara langsung bertanggung jawab atas unit yang diaudit, pada khususnya -
akan mendapatkan keuntungan dari fungsi audit internal yang efisien dan efektif. Sebuah
program tinjauan QA harus membantu memastikan efisiensi dan efektivitas audit yang
berkelanjutan.
Komite audit dan manajemen senior harus menyadari manfaat yang lebih besar lagi dari
program kajian QA audit internal yang kuat. Seperti telah dibahas di sepanjang buku ini, audit
internal adalah komponen yang kuat dalam sistem pengendalian internal. Manajemen senior
dan komite audit harus memahami keseluruhan prinsip pengendalian internal namun mungkin
tidak selalu memahami sepenuhnya fungsi audit internal mereka. Audit internal membagikan
ringkasan hasil tinjauan QA-nya dengan berbagai tingkatan manajemen senior. Informasi ini
memberi manajemen senior kepercayaan yang lebih besar terhadap kualitas review audit
internal yang dilakukan. Ini adalah keuntungan besar bagi keseluruhan perusahaan. 14
Quality Assurance Auditing and ASQ Standards
Quality Assurance Reviews of the Internal Audit Function
b. Elements of an Internal Audit Quality-Assurance Review
Procedures for a Quality-Assurance Review of Internal Audit
1. Tentukan area yang akan termasuk dalam kajian QA audit internal - apakah keseluruhan fungsi atau
hanya komponen audit internal terpisah, seperti pembagian atau area geografis yang terpisah.
2. Tentukan periode waktu audit untuk disertakan dalam tinjauan QA - baik dari akhir peninjauan QA
terakhir atau untuk periode 12 bulan sebelum pengumuman audit.
3. Tentukan siapa yang akan melakukan tinjauan audit internal QA dan pastikan bahwa reviewer tersebut
memahami standar IIA dan mendukung prosedur departemen audit internal.
4. Jika audit internal tidak memiliki tinjauan penjaminan mutu dalam 24 bulan terakhir, ambil langkah
untuk memastikan bahwa kedua anggota staf audit internal dan manajemen memahami tujuan dan
sifat tinjauan QA.
5. Jika tim peninjau QA berencana untuk melakukan survei atau wawancara auditee di luar departemen
audit internal, buat beberapa rencana awal untuk menginformasikan kepada semua orang yang
terkena dampak.
6. Berdasarkan audit internal selesai dan dalam proses, kembangkan strategi umum untuk jumlah dan
jenis audit yang akan dipilih untuk ditinjau. Jika area pengetahuan khusus disertakan, seperti 15
keamanan komputer atau desain otomatis, tentukan bahwa sumber daya yang sesuai telah
dialokasikan.
Quality Assurance Auditing and ASQ Standards
Quality Assurance Reviews of the Internal Audit Function
b. Elements of an Internal Audit Quality-Assurance Review
Procedures for a Quality-Assurance Review of Internal Audit (Cont’l)
7. Tentukan apakah tinjauan QA akan dilakukan berdasarkan tingkat atas, periksa kepatuhan
terhadap standar umum atau rencanakan untuk menyertakan ulasan terperinci mengenai audit
yang dipilih, termasuk cek referensi kerja atau reperformance tes.
8. Jika masalah ditemui dalam tinjauan QA yang direncanakan, seperti audit yang memerlukan
tinjauan lebih rinci, prosedur harus disiapkan untuk mengevaluasi cakupan atau jadwal peninjauan
QA.
9. Mengembangkan prosedur umum untuk format dan sifat laporan audit akhir QA.
10. Kembangkan strategi untuk melaporkan hasil peninjauan QA kepada anggota audit internal lainnya
dan kepada anggota manajemen senior yang dipilih.

c. Who Performs the Quality-Assurance Review?

Manajemen audit internal memiliki dua pilihan di sini. Ini dapat mengembangkan jenis tinjauan pengkajian
diri dan semua anggota staf mengevaluasi diri mereka sendiri, atau dapat melakukan kontrak dengan pihak
luar untuk melakukan peninjauan.
Pihak luar yang dapat melakukan tinjauan QA mencakup firma akuntan publik, konsultan yang
mengkhususkan diri pada ulasan semacam itu, atau auditor internal dari perusahaan lain. Sebagai pilihan
lain, IIA memiliki program review dimana akan menjadwalkan tim profesional relawan untuk melakukan
review. Beberapa fungsi audit internal yang lebih besar mungkin menemukan pendekatan di luar ini 16
menarik. Penilaian internal audit internal terhadap prosedur kualitasnya dapat berupa tinjauan penilaian
self-assessment kontrol (CSA)
Quality Assurance Auditing and ASQ Standards
Launching the Internal Audit Quality-Assurance Review
a. Quality-Assurance Review Approaches
b. Example Quality-Assurance Review of an Internal Audit Function
i. QA REVIEW PRELIMINARY PLANNING
• Announce the planned QA review
• Assign resources to perform the review.
• Meet with internal audit management
ii. QA INTERNAL AUDIT REVIEW PROCEDURES
iii. REVIEWS OF INDIVIDUAL COMPLETED AUDITS
• Audit sampling procedures used.
• Compliance with generally accepted accounting principles (GAAP) or other accounting standards
• Appropriate consideration of IT risks
• Use of computer-assisted audit tools and techniques (CATTs)
• Use of other audit automation techniques

17
Quality Assurance Auditing and ASQ Standards
Launching the Internal Audit Quality-Assurance Review
b. Example Quality-Assurance Review of an Internal Audit Function
iv. AUDITEE INTERVIEWS AND SURVEYS
• Quality-Assurance Auditee Interviews
Setelah meninjau ulang pekerjaan dan bahan lainnya dari audit yang telah selesai, peninjau QA biasanya
akan lebih bernilai bila mewawancarai beberapa auditee. (Ini adalah orang-orang yang fungsinya ditinjau
sebagai bagian dari audit yang telah selesai dipilih untuk tinjauan ini.) Idenya di sini adalah untuk menilai
tingkat profesionalisme audit internal dii mata auditee. Meskipun tim QA mungkin telah menemukan
bahwa perangkat lunak yang dipilih terorganisir dengan baik dan laporan auditnya ditulis dengan baik,
audit internal memiliki masalah kualitas potensial jika auditee - subyek audit - tidak menganggap auditor
internal yang melakukan peninjauan secara high-quality professionals.
• Internal Audit Quality-Assurance Surveys
Wawancara, umumnya terbatas pada sekelompok kecil auditee yang hanya terlibat dalam sejumlah audit
internal terpilih. Dalam beberapa kasus, tinjauan QA dapat menemukan beberapa nilai dalam mensurvei
semua auditee di divisi, departemen, atau unit bisnis yang lebih besar yang memiliki kontak dengan audit
internal. Pendekatan ini biasanya bekerja paling baik bila QA meninjau fungsi audit internal di beberapa
unit geografis terpencil, di mana tim peninjau memiliki sedikit pengetahuan tentang operasi audit internal
lokal. Survei tersebut mungkin dikirim sebelum kedatangan tim QA, dengan instruksi untuk mengirimkan
kembali tanggapannya. Jika dilakukan sebelumnya, tim QA audit internal mungkin dapat mengidentifikasi
beberapa masalah potensial sebelum memulai peninjauan QA yang sebenarnya. Tim QA yang melakukan
survei harus dengan hati-hati mengklasifikasikan data survei untuk mengidentifikasi tren atau masalah. 18

• Reporting the Results of an Internal Audit Quality-Assurance Review

Quality Assurance Auditing and ASQ Standards
Launching the Internal Audit Quality-Assurance Review

19
ISO 27001, ISO 9000, and Other
International Standards

CHAPTER 30

Robert Moeller (2016), Brink’s Modern Internal Auditing – A common

Body of Knowledge, 8th ed., New Jersey: John Wiley & Sons, Inc.

20
ISO 27001, ISO 9000, and Other International
Standards
Overview
• Bab ini memberikan gambaran umum dan pengenalan beberapa standar ISO yang sangat penting bagi auditor
internal. Fokusnya adalah pada standar kualitas ISO 9001 dan standar keamanan komputer ISO 27001. Bab ini
juga memperkenalkan beberapa standar ISO lainnya, termasuk standar internasional untuk sistem
manajemen TI dan manajemen mutu.
• ISO bertanggung jawab untuk mengembangkan dan menerbitkan berbagai standar internasional di banyak
bidang bisnis dan proses. Beberapa standar ini sangat luas, seperti ISO 14001, yang mencakup sistem
pengendalian lingkungan yang efektif, sementara yang lain sangat rinci dan tepat, seperti standar yang
mencakup ukuran dan ketebalan kartu kredit plastik. Standar ISO yang luas penting karena memungkinkan
semua perusahaan di seluruh dunia untuk berbicara dalam bahasa yang sama ketika mereka dapat
mengklaim bahwa mereka memiliki, misalnya, sistem pengendalian lingkungan ISO 14001 yang efektif. Yang
rinci juga sangat penting untuk memungkinkan, misalnya, mesin ATM di manapun di dunia untuk menerima
ukuran dan ketebalan kartu kredit yang sama.
• Standar ISO dikembangkan melalui upaya kolaboratif dari banyak organisasi penetapan standar nasional,
seperti American National Standards Institute dan kelompok serupa di seluruh dunia. Prosesnya dimulai
dengan kebutuhan standar yang diakui secara umum di beberapa daerah. Contohnya adalah ISO 27001, yang
menguraikan persyaratan tingkat tinggi untuk sistem manajemen keamanan informasi yang efektif. Standar
ISO 27001 dikembangkan melalui upaya komite teknis internasional yang disponsori oleh ISO bekerja sama
dengan kelompok penetapan standar internasional Electrotechnical Commission. Standar tersebut tidak 21
spesifik dalam persyaratan terperinci namun berisi banyak pernyataan tingkat tinggi sesuai dengan garis
"organisasi. . . . "
ISO 27001, ISO 9000, and Other International
Standards
Overview
• Banyak perusahaan A.S. pertama kali terlibat dengan standar internasional ini melalui peluncuran standar
sistem manajemen mutu ISO 9000 di tahun 1980an. Pada saat itu, banyak perusahaan A.S. dihadapkan
dengan standar desain berkualitas tinggi yang ditemukan di banyak produk asing, seperti mobil Jepang.
Perusahaan Jepang telah merancang banyak produk berkualitas tinggi menyusul apa yang menjadi ISO 9000,
dan produsen A.S. mulai melangkah ke piring dengan memodifikasi proses mereka sendiri agar sesuai dengan
standar kualitas produk yang lebih tinggi ini. Kepatuhan terhadap standar ISO 9000 memungkinkan
perusahaan-perusahaan di seluruh dunia merancang operasinya sesuai dengan standar tunggal yang
konsisten dan kemudian menegaskan bahwa mereka memiliki sistem manajemen mutu yang sesuai dengan
standar internasional.

22
ISO 27001, ISO 9000, and Other International
Standards
ISO Standards Overview
a. ISO 9001 Quality Management Systems and Sarbanes-Oxley
ISO 9000 adalah keluarga penting standar untuk sistem manajemen mutu. Dipertahankan oleh ISO,
standar ini mencakup persyaratan untuk hal-hal seperti:
• Memantau proses untuk memastikannya efektif
• Menjaga catatan yang memadai
• Memeriksa output untuk cacat, dengan tindakan korektif yang sesuai bila diperlukan
• Secara teratur meninjau proses individu dan sistem mutu itu sendiri untuk efektivitas
• Memfasilitasi perbaikan terus-menerus
i. ISO 9000 DOCUMENTATION PROCESSES
Untuk memperjelas, ISO 9000 bukan hanya satu standar namun serangkaian standar dan pedoman
"dapat disertifikasi":
ISO 9001. Certifiable standard dealing with design
ISO 9002. Certifiable standard dealing with manufacturing
ISO 9003. Certifiable standard dealing with manufacturing and assembly
ISO 9004. Guideline defining a quality system 23
ISO 27001, ISO 9000, and Other International
Standards
ISO Standards Overview
a. ISO 9001 Quality Management Systems and Sarbanes-Oxley

24
ISO 27001, ISO 9000, and Other International
Standards
ISO Standards Overview
a. ISO 9001 Quality Management Systems and Sarbanes-Oxley

25
ISO Standards Overview

b. IT Security Standards: ISO 17799

ISO 17799 adalah standar tentang informasi dan IS secara umum dan inklusif. Karena informasi semacam itu didapat dalam berbagai bentuk,
standar tersebut mengambil pendekatan yang sangat luas dan mencakup berbagai standar keamanan yang mencakup keamanan terkait:
• File elektronik data dan perangkat lunak
• Semua format dokumen kertas termasuk bahan cetak, catatan tangan, dan bahkan foto
• Rekaman video dan audio
• Percakapan telepon dan juga e-mail, faks, video, dan bentuk pesan lainnya
c. IT Security Technique Requirements: ISO 27001
Sementara ISO 17799 adalah kode praktik tingkat tinggi yang mencakup kontrol keamanan, ISO 27001 adalah apa yang didefinisikan oleh ISO sebagai
"spesifikasi" untuk Sistem Manajemen Keamanan Informasi. Artinya, standar ini dirancang untuk mengukur, memantau, dan mengendalikan
manajemen keamanan dari perspektif top-down. Standar dasarnya menjelaskan bagaimana menerapkan ISO 17799, dan ini mendefinisikan
penerapan standar ini sebagai proses enam bagian:
1. Defin a security policy. Komponen mendasar dari standar apa pun adalah kebutuhan akan pernyataan kebijakan formal yang disetujui oleh
manajemen senior. Semua aspek kepatuhan lainnya dari standar akan diukur terhadap pernyataan kebijakan ini.
2. Defin the scope of the ISMS. mendefinisikan keamanan secara luas yang mungkin tidak sesuai atau dibutuhkan untuk semua perusahaan.
Setelah menetapkan kebijakan keamanan tingkat tinggi, perusahaan perlu menentukan ruang lingkup ISMS yang akan diterapkan. Misalnya, ISO
17799 mendefinisikan unsur persyaratan keamanan seperti rekaman video dan audio. Jika ini tidak diperlukan untuk perusahaan tertentu,
maka akan secara khusus dikecualikan untuk lingkup ISMS-nya.
3. Undertake a risk assessment. Perusahaan harus mengidentifikasi metodologi penilaian risiko yang sesuai dengan lingkungan ISMS-nya,
kemudian mengembangkan kriteria untuk menerima risiko dan menentukan tingkat risiko yang dapat diterima.
4. Manage the risk.. Ini adalah proses utama yang mencakup identifikasi risiko formal, analisis risiko, dan pilihan untuk pengobatan risiko
tersebut. Yang terakhir ini dapat mencakup penerapan pengendalian penghindaran risiko yang tepat, menerima risiko, mengambil langkah lain
untuk menghindarinya, atau mengalihkan risiko ke pihak lain, seperti perusahaan asuransi atau pemasok.
5. Select control objectives and controls to be implemented. Ini adalah proses audit dan kontrol yang sama yang dibahas di bagian lain buku ini,
seperti dalam Bab 15 tentang perencanaan dan pelaksanaan audit internal. Untuk setiap tujuan pengendalian yang ditetapkan, perusahaan
harus menentukan prosedur pengendalian yang tepat.
6. Prepare a statement of applicability. Ini adalah dokumentasi formal yang diperlukan untuk menyelesaikan proses dokumentasi ISMS. 26
Dokumentasi tersebut sesuai dengan tujuan pengendalian dengan prosedur untuk mengelola dan menerapkan ISMS.
ISO 27001, ISO 9000, and Other International
Standards
ISO Standards Overview
d. Service Quality Management: ISO 20000
• ISO 20000 meminta perusahaan untuk mengadopsi dan menyatakan bahwa mereka telah menerapkan
praktik terbaik ITIL yang dibahas di Bab 8. Secara formal, standar ini "mempromosikan penerapan
pendekatan proses terpadu untuk secara efektif memberikan layanan yang dikelola untuk memenuhi
kebutuhan bisnis dan pelanggan." ISO 20000 adalah standar global pertama untuk pengelolaan layanan
TI dan sepenuhnya kompatibel dan mendukung kerangka kerja ITIL. Ini pasti akan berdampak signifikan
terhadap penggunaan dan penerimaan praktik terbaik ITIL dan keseluruhan lanskap pengelolaan
layanan TI.
• Di tahun-tahun depan, auditor internal harus melihat peningkatan tingkat pengakuan akan pentingnya
standar layanan terkait ISO. Dalam ekonomi global kita yang semakin meningkat, tidak peduli
pembatasan perdagangan dunia nasional apa pun, standar internal diperlukan untuk mendefinisikan
praktik umum dan untuk memfasilitasi komunikasi dengan lebih baik. Ketika sebuah perusahaan atau
organisasi jasa di manapun di dunia telah mencapai sertifikasi manajemen mutu ISO 9000, pelanggan
dan pengguna dapat mengharapkan tingkat minimum dokumentasi dan standar proses tertentu.
Standar keamanan TI ISO 27001 harus segera mencapai tingkat kepentingan dan pengakuan yang
serupa. Kita harus melihat peningkatan tren konvergensi antara ISO dan standar di bidang lain. Auditor
internal di semua tingkatan harus memahami dan menerapkan standar ISO yang penting ini.
27
ISO 27001, ISO 9000, and Other International
Standards
ISO 19011 Quality Management Systems Auditing
Standar audit sistem manajemen mutu ISO 19011 sangat berkaitan dengan standar audit kualitas
ASQ yang dibahas pada Bab 31, dan ini menguraikan empat sumber keputusan / dukungan
penting untuk perencanaan, pelaksanaan, dan evaluasi audit kualitas dan / atau lingkungan yang
efisien:
1. Kebutuhan akan penjelasan yang jelas tentang prinsip-prinsip sistem manajemen audit
2. Bimbingan pengelolaan program audit
3. Pedoman pelaksanaan audit internal atau eksternal
4. Nasihat mengenai kompetensi dan evaluasi auditor

This ISO standard outlines five principles of auditing:

1. Ethical conduct. Auditors performing ISO 19011 audits should be honest and do the right
thing.
2. Fair presentation. Auditors should be evenhanded when reporting results.
3. Exercise due professional care. Auditors should do what is reasonable and normally expected.
4. Independence. Auditors should avoid conflicts of interest to ensure their integrity. 28

5. Evidence-based approaches. Auditors should investigate first and then report the facts.
29