INTERNASION
AL Edisi ketiga 2018-07
ISO
Nomor referensi
ISO 19011: 2018 (E)
© ISO 2018
ISO 19011: 2018 (E)
Isi Halaman
Kata Pengantar........................................ .................................................. .................................................. ..................................................
............................................v Pendahuluan.... .................................................. .................................................. ..................................................
.................................................. ....................vi 1 Ruang Lingkup........................... .................................................. ..................................................
.................................................. ................................................1 2 Acuan normatif............................. ..................................................
.................................................. .................................................. ...1 3 Istilah dan definisi.......................................... ..................................................
.................................................. .......................................1 4 Prinsip audit ...... .................................................. ..................................................
.................................................. ..........................5
Kata Pengantar
ISO (Organisasi Internasional untuk Standardisasi ) adalah federasi badan standar nasional di seluruh
dunia (badan anggota ISO). Pekerjaan mempersiapkan Standar Internasional biasanya dilakukan
melalui komite teknis ISO. Setiap badan anggota yang tertarik pada topik yang komite teknisnya telah
dibentuk berhak untuk diwakili dalam komite tersebut. Organisasi internasional, pemerintah dan
non-pemerintah, dalam hubungannya dengan ISO, juga ambil bagian dalam pekerjaan tersebut. ISO
bekerja sama erat dengan International Electrotechnical Commission (IEC) dalam semua masalah
standardisasi elektroteknik.
Prosedur yang digunakan untuk mengembangkan dokumen ini dan yang dimaksudkan untuk
pemeliharaan selanjutnya dijelaskan dalam Petunjuk ISO / IEC, Bagian 1. Secara khusus, kriteria
persetujuan berbeda yang diperlukan untuk jenis dokumen ISO yang berbeda harus diperhatikan.
Dokumen ini disusun sesuai dengan aturan editorial ISO / IEC Directive, Bagian 2 (lihat
www.iso.org/directives).
Harap diperhatikan kemungkinan bahwa beberapa elemen dari dokumen ini mungkin tunduk pada hak
paten. ISO tidak akan bertanggung jawab untuk mengidentifikasi salah satu atau semua hak paten
tersebut. Rincian setiap hak paten yang diidentifikasi selama pengembangan dokumen akan ada di
Pendahuluan dan / atau pada daftar pernyataan paten ISO yang diterima (lihat www.iso.org/patents).
Nama dagang apa pun yang digunakan dalam dokumen ini adalah informasi yang diberikan untuk
kenyamanan pengguna dan bukan merupakan pengesahan.
Untuk penjelasan tentang sifat sukarela standar, arti istilah dan ekspresi khusus ISO terkait penilaian
kesesuaian, serta informasi tentang kepatuhan ISO terhadap prinsip-prinsip Organisasi Perdagangan
Dunia (WTO) dalam Penghalang Teknis Perdagangan (TBT) lihat bagian URL berikut:
www.iso.org/iso/foreword.html.
Dokumen ini disiapkan oleh Komite Proyek ISO / PC 302, Pedoman sistem manajemen audit.
Edisi ketiga ini membatalkan dan menggantikan edisi kedua (ISO 19011: 2011), yang telah direvisi
secara teknis.
- perluasan Lampiran A untuk memberikan panduan tentang konsep audit (baru) seperti konteks
organisasi, kepemimpinan dan komitmen, audit virtual, kepatuhan dan rantai pasokan.
Pendahuluan
Sejak edisi kedua dokumen ini diterbitkan pada tahun 2011, sejumlah standar sistem manajemen baru
telah diterbitkan, banyak di antaranya memiliki struktur yang sama, persyaratan inti yang identik dan
istilah umum dan definisi inti. Akibatnya, ada kebutuhan untuk mempertimbangkan pendekatan yang
lebih luas untuk audit sistem manajemen, serta memberikan panduan yang lebih umum. Hasil audit
dapat memberikan masukan pada aspek analisis perencanaan bisnis, dan dapat berkontribusi pada
identifikasi kebutuhan dan kegiatan perbaikan.
Suatu audit dapat dilakukan terhadap berbagai kriteria audit, secara terpisah atau kombinasi, termasuk
tetapi tidak terbatas pada:
- persyaratan yang ditentukan dalam satu atau lebih standar sistem manajemen;
- kebijakan dan persyaratan yang ditentukan oleh pihak terkait yang relevan;
- persyaratan hukum dan regulasi;
- satu atau lebih proses sistem manajemen yang ditentukan oleh organisasi atau pihak lain;
- rencana sistem manajemen yang berkaitan dengan penyediaan keluaran spesifik dari sistem
manajemen (misalnya rencana mutu, rencana proyek).
Dokumen ini memberikan panduan untuk semua ukuran dan jenis organisasi dan audit dari berbagai
cakupan dan skala, termasuk yang dilakukan oleh tim audit besar, biasanya dari organisasi yang lebih
besar, dan yang dilakukan oleh auditor tunggal, baik di organisasi besar maupun kecil. Panduan ini
harus disesuaikan dengan ruang lingkup, kompleksitas dan skala program audit.
Dokumen ini berkonsentrasi pada audit internal (pihak pertama) dan audit yang dilakukan oleh
organisasi pada penyedia eksternal mereka dan pihak berkepentingan eksternal lainnya (pihak kedua).
Dokumen ini juga dapat berguna untuk audit eksternal yang dilakukan untuk tujuan selain sertifikasi
sistem manajemen pihak ketiga. ISO / IEC 17021-1 memberikan persyaratan untuk sistem manajemen
audit untuk sertifikasi pihak ketiga; dokumen ini dapat memberikan panduan tambahan yang berguna
(lihat Tabel 1).
Untuk menyederhanakan keterbacaan dokumen ini, lebih disukai dalam bentuk tunggal "sistem
manajemen", tetapi pembaca dapat menyesuaikan penerapannya panduan untuk situasi mereka sendiri.
Ini juga berlaku untuk penggunaan "individu" dan "individu", "auditor" dan "auditor".
Dokumen ini dimaksudkan untuk diterapkan pada berbagai pengguna potensial, termasuk auditor,
organisasi yang menerapkan sistem manajemen dan organisasi yang perlu melakukan audit sistem
manajemen untuk alasan kontrak atau peraturan. Namun, pengguna dokumen ini dapat menerapkan
panduan ini dalam mengembangkan persyaratan terkait audit mereka sendiri.
Panduan dalam dokumen ini juga dapat digunakan untuk tujuan deklarasi diri dan dapat berguna bagi
organisasi yang terlibat dalam pelatihan auditor atau sertifikasi personel.
Panduan dalam dokumen ini dimaksudkan agar fleksibel. Seperti yang ditunjukkan di berbagai poin
dalam teks, penggunaan panduan ini dapat berbeda bergantung pada ukuran dan tingkat kematangan
sistem manajemen organisasi. Sifat dan kompleksitas organisasi yang diaudit, serta tujuan dan ruang
lingkup audit yang akan dilakukan, juga harus dipertimbangkan.
Dokumen ini memberikan panduan tentang manajemen program audit, perencanaan dan pelaksanaan
audit sistem manajemen, serta kompetensi dan evaluasi auditor dan tim audit.
1 Ruang Lingkup
Dokumen ini memberikan panduan tentang sistem manajemen audit, termasuk prinsip-prinsip audit,
mengelola program audit dan melakukan audit sistem manajemen, sebagaimana serta pedoman evaluasi
kompetensi individu yang terlibat dalam proses audit. Aktivitas ini termasuk individu yang mengelola
program audit, auditor dan tim audit.
Ini berlaku untuk semua organisasi yang perlu merencanakan dan melakukan audit internal atau
eksternal sistem manajemen atau mengelola program audit.
Penerapan dokumen ini untuk jenis audit lain dimungkinkan, asalkan pertimbangan khusus diberikan
untuk kompetensi khusus yang dibutuhkan.
2 Acuan normatif
Tidak ada acuan normatif dalam dokumen ini.
Catatan 1 untuk entri: Audit internal, kadang-kadang disebut audit pihak pertama, dilakukan oleh , atau atas nama,
organisasi itu sendiri.
Catatan 2 untuk entri: Audit eksternal mencakup audit yang umumnya disebut audit pihak kedua dan ketiga. Audit
pihak kedua dilakukan oleh pihak yang memiliki kepentingan dalam organisasi, seperti pelanggan, atau individu
lain atas nama mereka. Audit pihak ketiga dilakukan oleh organisasi audit independen, seperti yang memberikan
sertifikasi / registrasi kesesuaian atau lembaga pemerintah.
[SUMBER: ISO 9000: 2015, 3.13.1, dimodifikasi - Catatan entri telah dimodifikasi]
3.2
auditgabungan
audit ( 3.1) dilakukan bersama-sama pada satu auditee ( 3.13) pada dua atau lebih sistem manajemen (3.18)
Catatan 1 untuk entri: Ketika dua atau lebih sistem manajemen disiplin ilmu tertentu diintegrasikan ke dalam satu
sistem manajemen, ini dikenal sebagai sistem manajemen terintegrasi.
3,3
audit gabungan
Audit ( 3,1) dilakukan padatunggal auditee (3.13) dengan dua atau lebih audit
organisasi [SUMBER: ISO 9000: 2015, 3.13.3]
3.4
program audit
pengaturanuntuk satu atau lebih audit ( 3.1) yang direncanakan untuk kerangka waktu tertentu dan
diarahkan ke tujuan tertentu
[SUMBER: ISO 9000: 2015, 3.13. 4, dimodifikasi - kata-kata telah ditambahkan ke definisi]
3.5
ruang lingkup audit
luasdan batas-batas audit ( 3.1)
Catatan 1 untuk entri: Ruang lingkup audit umumnya mencakup deskripsi lokasi fisik dan virtual, fungsi, unit
organisasi, aktivitas dan proses, serta periode waktu yang dicakup.
Catatan 2 untuk entri: Lokasi virtual adalah tempat organisasi melakukan pekerjaan atau menyediakan layanan
menggunakan lingkungan on-line yang memungkinkan individu terlepas dari lokasi fisik untuk menjalankan
proses.
[SUMBER: ISO 9000: 2015, 3.13.5, dimodifikasi - Catatan 1 entri telah dimodifikasi, Catatan 2 entri telah
ditambahkan]
3.6
rencana audit
deskripsitentang kegiatan dan pengaturan untuk audit ( 3.1)
Catatan 2 untuk entri: Persyaratan dapat mencakup kebijakan, prosedur, instruksi kerja, persyaratan hukum,
kewajiban kontrak, dll.
[SUMBER: ISO 9000: 2015, 3.13.7, dimodifikasi - definisi telah diubah dan Catatan untuk entri 1 dan 2
memiliki telah ditambahkan]
3.8
bukti obyektif yang
datamendukung keberadaan atau kebenaran sesuatu
Catatan 1 untuk masukan: Bukti obyektif dapat diperoleh melalui observasi, pengukuran, tes atau dengan cara lain.
Catatan 2 untuk entri: Bukti obyektif untuk tujuan audit (3.1) umumnya terdiri dari catatan, pernyataan fakta, atau
informasi lain yang relevan dengan kriteria audit ( 3.7) dan dapat diverifikasi.
[SUMBER: ISO 9000: 2015, 3.8.3]
3.9
bukti audit
catatan, pernyataan fakta atau informasi lain, yang relevan dengan kriteria audit ( 3.7) dan dapat
diverifikasi
3.10
temuan audit
hasil evaluasi daridikumpulkan bukti audit yang (3.9) terhadap kriteria audit (3.7)
Catatan 1 untuk entri: Temuan audit menunjukkan kesesuaian (3.20) atau ketidaksesuaian
(3.21).
Catatan 2 untuk entri: Temuan audit dapat mengarah pada identifikasi risiko, peluang untuk perbaikan atau
pencatatan praktik yang baik.
Catatan 3 untuk masukan: Dalam bahasa Inggris, jika kriteria audit dipilih dari persyaratan perundang-undangan
atau persyaratan peraturan, temuan audit disebut kepatuhan atau ketidakpatuhan.
[SUMBER: ISO 9000: 2015, 3.13.9, dimodifikasi - Catatan untuk entri 2 dan 3 telah dimodifikasi]
3.11
kesimpulan audit
hasildari suatu audit ( 3.1), setelah mempertimbangkan tujuan audit dan semua temuan audit
(3.10) [SUMBER : ISO 9000: 2015, 3.13.10]
3.12
klien audit
organisasiatau orang yang meminta audit ( 3.1)
Catatan 1 untuk entri: Dalam kasus audit internal, klien audit juga dapat menjadi auditi (3.13) atau individu yang
mengelola program audit. Permintaan untuk audit eksternal dapat berasal dari sumber seperti regulator, pihak
yang mengadakan kontrak, atau klien potensial atau klien yang sudah ada.
[SUMBER: ISO 9000: 2015, 3.13.11, diubah - Catatan 1 entri telah ditambahkan]
3.13
auditee
organisasisecara keseluruhan atau sebagian diaudit
(3.16) Catatan 1 untuk entri: Satu auditor (3.15) dari tim audit (3.14) ditunjuk sebagai ketua tim audit.
Catatan 2 untuk entri: Tim audit dapat memasukkan auditor-dalam-pelatihan.
Catatan 2 untuk entri: Seorang ahli teknis untuk tim audit (3.14) tidak bertindak sebagai auditor
(3.15). [SUMBER: ISO 9000: 2015, 3.13.16, dimodifikasi - Catatan untuk entri 1 dan 2 telah
dimodifikasi]
3.17
pengamat
individuyang mendampingi tim audit (3.14) tetapi tidak bertindak sebagai auditor ( 3.15)
[SUMBER: ISO 9000: 2015, 3.13.17, dimodifikasi]
3.18
sistem manajemen
kumpulandari elemen yang saling terkait atau berinteraksi dari suatu organisasi untuk
menetapkan kebijakan dan tujuan, dan proses (3.24) untuk mencapainya tujuan
Catatan 1 untuk entri: Sebuah sistem manajemen dapat menangani satu disiplin atau beberapa disiplin
ilmu, misalnya manajemen mutu, manajemen keuangan atau manajemen lingkungan.
Catatan 2 untuk entri: Elemen sistem manajemen menetapkan struktur, peran dan tanggung jawab
organisasi, perencanaan, operasi, kebijakan, praktik, aturan, keyakinan, tujuan, dan proses untuk
mencapai tujuan tersebut.
Catatan 3 untuk entri: Ruang lingkup sistem manajemen dapat mencakup keseluruhan organisasi, fungsi
organisasi yang spesifik dan teridentifikasi, bagian organisasi yang spesifik dan teridentifikasi, atau satu
atau lebih fungsi di seluruh grup organisasi.
[SUMBER: ISO 9000: 2015, 3.5.3, dimodifikasi - Catatan 4 entri telah dihapus]
3.19
risiko
efekketidakpastian
Catatan 1 untuk entri: Efek adalah penyimpangan dari yang diharapkan - positif atau negatif.
Catatan 2 untuk entri: Ketidakpastian adalah keadaan, bahkan sebagian, dari kekurangan informasi yang
berkaitan dengan, pemahaman atau pengetahuan tentang, suatu peristiwa, konsekuensi dan
kemungkinannya.
Catatan 3 untuk entri: Risiko sering ditandai dengan referensi ke peristiwa potensial (sebagaimana
didefinisikan dalam ISO Guide 73: 2009, 3.5.1.3) dan konsekuensi (sebagaimana didefinisikan dalam ISO
Guide 73: 2009, 3.6.1.3), atau kombinasi dari semuanya .
Catatan 4 untuk entri: Risiko sering dinyatakan dalam kombinasi konsekuensi dari suatu peristiwa
(termasuk perubahan keadaan) dan kemungkinan terkait (sebagaimana didefinisikan dalam ISO Guide
73: 2009, 3.6.1.1) terjadinya.
[SUMBER: ISO 9000: 2015, 3.7.9, dimodifikasi - Catatan untuk entri 5 dan 6 telah dihapus]
3.20
kesesuaian
pemenuhansuatu persyaratan ( 3.23)
[SUMBER: ISO 9000: 2015, 3.6.11, diubah - Catatan 1 untuk entri telah dihapus]
3.21
ketidaksesuaian
tidak terpenuhinya persyaratan ( 3
.23)
[SUMBER: ISO 9000: 2015, 3.6.9, dimodifikasi - Catatan 1 hingga entri telah dihapus]
3.22
kompetensi
kemampuanuntuk menerapkan pengetahuan dan keterampilan untuk mencapai hasil yang
diinginkan
[SUMBER: ISO 9000: 2015, 3.10.4, dimodifikasi - Catatan untuk entri telah dihapus] 4 © ISO 2018 -
3.23
kebutuhanpersyaratan
atau harapanyang dinyatakan, secara umum tersirat atau wajib
Catatan 1 untuk entri: "Secara umum tersirat" berarti bahwa itu adalah kebiasaan atau praktik umum untuk
organisasi dan pihak yang berkepentingan yang tersirat oleh kebutuhan atau harapan yang sedang
dipertimbangkan.
Catatan 2 untuk entri: Persyaratan yang ditentukan adalah salah satu yang dinyatakan, misalnya dalam
informasi terdokumentasi. [SUMBER: ISO 9000: 2015, 3.6.4, dimodifikasi - Catatan untuk entri
3.24
proses
kumpulanaktivitas yang saling terkait atau berinteraksi yang menggunakan masukan
untuk memberikan hasil yang diinginkan [SUMBER: ISO 9000: 2015, 3.4.1,
dimodifikasi - Catatan untuk entri telah dihapus]
3.25
kinerja
hasil yang dapat diukur
Catatan 1 untuk entri: Kinerja dapat berhubungan baik dengan temuan kuantitatif atau kualitatif.
Catatan 2 untuk entri: Kinerja dapat berhubungan dengan pengelolaan aktivitas, proses ( 3
.24), produk, layanan,
sistem atau organisasi.
[SUMBER: ISO 9000: 2015, 3.7.8, dimodifikasi - Catatan 3 entri telah dihapus]
3,26
efektivitas
sejauhke mana kegiatan yang direncanakan terealisasi dan hasil yang direncanakan tercapai
[SUMBER: ISO 9000: 2015, 3.7.11, dimodifikasi - Catatan 1 entri telah dihapus]
4 Prinsip audit
Auditing ditandai dengan ketergantungan pada sejumlah prinsip. Prinsip-prinsip ini harus membantu
membuat audit menjadi alat yang efektif dan andal dalam mendukung kebijakan dan pengendalian
manajemen, dengan memberikan informasi yang dapat digunakan organisasi untuk meningkatkan
kinerjanya. Kepatuhan terhadap prinsip-prinsip ini merupakan prasyarat untuk memberikan
kesimpulan audit yang relevan dan memadai, dan untuk memungkinkan auditor, bekerja secara
independen satu sama lain, untuk mencapai kesimpulan yang sama dalam keadaan yang serupa.
Panduan yang diberikan dalam Klausul 5 sampai 7 didasarkan pada tujuh prinsip
yang diuraikan di bawah ini. a) Integritas: fondasi profesionalisme
temuan audit, kesimpulan audit dan laporan audit harus mencerminkan kegiatan audit secara jujur
dan akurat. Hambatan signifikan yang dihadapi selama audit dan perbedaan yang tidak
terselesaikan
opini antara tim audit dan auditee harus dilaporkan. Komunikasi harus jujur, akurat, obyektif, tepat
waktu, jelas dan lengkap.
Untuk organisasi kecil, auditor internal mungkin tidak dapat sepenuhnya independen dari aktivitas
yang diaudit, tetapi setiap upaya harus dilakukan untuk menghilangkan bias dan mendorong
objektivitas.
f) Pendekatan berbasis bukti: metode rasional untuk mencapai kesimpulan audit yang andal dan dapat
direproduksi dalam proses audit yang sistematis
Bukti audit harus dapat diverifikasi. Secara umum, audit harus didasarkan pada contoh informasi
yang tersedia, karena audit dilakukan selama periode waktu yang terbatas dan dengan sumber daya
yang terbatas. Penggunaan pengambilan sampel yang tepat harus diterapkan, karena hal ini terkait
erat dengan keyakinan yang dapat ditempatkan dalam kesimpulan audit.
g) Pendekatan berbasis risiko: pendekatan audit yang mempertimbangkan risiko dan peluang
Pendekatan berbasis risiko harus secara substantif memengaruhi perencanaan, pelaksanaan, dan
pelaporan audit untuk memastikan bahwa audit difokuskan pada hal-hal yang signifikan bagi klien
audit, dan untuk mencapai tujuan program audit.
5.1 Umum
Program audit harus ditetapkan yang dapat mencakup audit yang menangani satu atau lebih standar
sistem manajemen atau persyaratan lain, yang dilakukan secara terpisah atau dalam kombinasi (audit
gabungan).
Cakupan program audit harus didasarkan pada ukuran dan sifat auditi, serta sifat, fungsionalitas,
kompleksitas, jenis risiko dan peluang, dan tingkat kematangan sistem manajemen yang akan
dilaksanakan. diaudit.
Fungsionalitas sistem manajemen dapat menjadi lebih kompleks ketika sebagian besar fungsi penting
dialihdayakan dan dikelola di bawah kepemimpinan organisasi lain. Perhatian khusus perlu diberikan
pada di mana keputusan paling penting dibuat dan apa yang merupakan manajemen puncak dari sistem
manajemen.
Dalam kasus beberapa lokasi / situs (misalnya negara yang berbeda), atau di mana fungsi
penting dialihdayakan dan dikelola di bawah kepemimpinan organisasi lain, perhatian khusus
harus diberikan desain, perencanaan dan validasi program audit.
Dalam kasus organisasi yang lebih kecil atau kurang kompleks, program audit dapat diskalakan
dengan tepat.
Individu yang mengelola program audit harus memastikan integritas audit dipertahankan dan
tidak ada pengaruh yang tidak semestinya yang diberikan atas audit tersebut.
Prioritas audit harus diberikan untuk mengalokasikan sumber daya dan metode untuk hal-hal
dalam sistem manajemen dengan risiko inheren yang lebih tinggi dan tingkat kinerja yang lebih
rendah.
c) ruang lingkup (luas, batas, lokasi) dari setiap audit dalam program audit; d) jadwal (jumlah /
durasi / frekuensi) audit;
Pelaksanaan program audit harus dipantau dan diukur secara berkelanjutan (lihat 5.6) untuk
memastikan tujuannya telah tercapai. Program audit harus ditinjau untuk mengidentifikasi
kebutuhan perubahan dan kemungkinan peluang untuk perbaikan (lihat 5.7).
Gambar 1 mengilustrasikan aliran proses untuk pengelolaan program audit. © ISO 2018 - All rights
reserved 7
CATATAN 1 Gambar ini mengilustrasikan penerapan siklus Plan-Do-Check-Act dalam dokumen ini.
CATATAN 2 Penomoran klausul / sub klausul mengacu pada klausul / sub klausul yang relevan dari
dokumen ini.
- mengevaluasi kemampuan auditee untuk menentukan risiko dan peluang serta mengidentifikasi dan
menerapkan tindakan efektif untuk mengatasinya;
- memenuhi semua persyaratan yang relevan, misalnya persyaratan undang-undang dan peraturan,
komitmen kepatuhan, persyaratan sertifikasi untuk standar sistem manajemen;
b) sumber daya, misalnya memberikan waktu, peralatan dan / atau pelatihan yang tidak memadai untuk
mengembangkan program audit atau melaksanakan audit;
c) pemilihan tim audit, misalnya kompetensi keseluruhan yang tidak memadai untuk melakukan audit
d) komunikasi, misalnya proses / saluran komunikasi eksternal / internal yang tidak efektif;
e) implementasi, misalnya koordinasi audit yang tidak efektif dalam program audit, atau tidak
mempertimbangkan keamanan dan kerahasiaan informasi;
f) pengendalian informasi terdokumentasi, misalnya penentuan yang tidak efektif dari informasi
terdokumentasi yang diperlukan yang diperlukan oleh auditor dan pihak berkepentingan terkait,
kegagalan untuk melindungi catatan audit secara memadai untuk menunjukkan efektivitas program
audit;
g) memantau, meninjau dan meningkatkan program audit, misalnya pemantauan hasil program audit
yang tidak efektif;
5.4.1 Peran dan tanggung jawab individu yang mengelola program audit Individu
yang mengelola program audit harus:
a) menetapkan luas program audit sesuai dengan tujuan yang relevan (lihat 5.2) dan kendala yang
diketahui;
b) menentukan masalah eksternal dan internal, serta risiko dan peluang yang dapat memengaruhi
program audit, dan menerapkan tindakan untuk mengatasinya, mengintegrasikan tindakan ini
dalam semua aktivitas audit yang relevan, jika sesuai;
c) memastikan pemilihan tim audit dan kompetensi keseluruhan untuk kegiatan audit dengan
menetapkan peran, tanggung jawab dan wewenang, dan kepemimpinan pendukung, yang sesuai;
- mengevaluasi auditor;
- pembentukan proses komunikasi eksternal dan internal, yang sesuai; - resolusi
perselisihan dan penanganan pengaduan;
f) memastikan bahwa informasi terdokumentasi yang tepat disiapkan dan dipelihara, termasuk catatan
program audit;
Individu yang mengelola program audit harus meminta persetujuannya dari klien audit.
a ) prinsip audit (lihat Klausul 4), metode dan proses (lihat A.1 dan A.2);
b) standar sistem manajemen, standar relevan lainnya dan dokumen acuan / pedoman;
c) informasi mengenai auditi dan konteksnya (misalnya masalah eksternal / internal, pihak
berkepentingan yang relevan serta kebutuhan dan harapan mereka, aktivitas bisnis, produk,
layanan, dan proses yang diaudit);
d) persyaratan perundang-undangan dan peraturan yang berlaku serta persyaratan lain yang relevan
dengan aktivitas bisnis auditee.
Jika sesuai, pengetahuan tentang manajemen risiko, manajemen proyek dan proses, serta teknologi
informasi dan komunikasi (TIK) dapat dipertimbangkan.
Individu yang mengelola program audit harus terlibat dalam aktivitas pengembangan berkelanjutan
yang sesuai untuk mempertahankan kompetensi yang diperlukan untuk mengelola program audit.
Individu yang mengelola program audit harus menentukan luas program audit. Hal ini dapat bervariasi
tergantung pada informasi yang diberikan oleh auditi mengenai konteksnya (lihat 5.3).
CATATAN Dalam kasus tertentu, tergantung pada struktur auditi atau aktivitasnya, program audit mungkin hanya
terdiri dari satu audit (misalnya proyek atau organisasi kecil).
Faktor-faktor lain yang memengaruhi luas program audit dapat mencakup hal-hal berikut:
a) tujuan, ruang lingkup dan durasi setiap audit dan jumlah audit yang akan dilaksanakan, metode
pelaporan dan, jika berlaku, tindak lanjut audit;
e) kriteria audit yang berlaku, seperti pengaturan yang direncanakan untuk standar sistem manajemen
yang relevan, persyaratan perundang-undangan dan peraturan dan persyaratan lain yang menjadi
komitmen organisasi;
f) hasil audit internal atau eksternal sebelumnya dan tinjauan manajemen, jika sesuai; g)
hasil review program audit sebelumnya;
j) perubahan signifikan pada konteks auditi atau operasinya serta risiko dan peluang terkait;
k) ketersediaan teknologi informasi dan komunikasi untuk mendukung aktivitas audit, khususnya
penggunaan metode audit jarak jauh (lihat A.16);
l) terjadinya peristiwa internal dan eksternal, seperti ketidaksesuaian produk atau layanan, kebocoran
keamanan informasi, insiden kesehatan dan keselamatan, tindakan kriminal atau insiden lingkungan;
a) sumber daya keuangan dan waktu yang diperlukan untuk mengembangkan, menerapkan, mengelola
dan meningkatkan kegiatan audit;
d) luas program audit (lihat 5.4.3) dan risiko dan peluang program audit (lihat 5.3); e) waktu dan biaya
perjalanan, akomodasi dan kebutuhan audit lainnya;
j) persyaratan yang terkait dengan fasilitas, termasuk izin dan perlengkapan keamanan (misalnya
pemeriksaan latar belakang, alat pelindung diri, kemampuan mengenakan pakaian bersih).
5.5.1 Umum
Setelah program audit ditetapkan (lihat 5.4.3) dan sumber daya terkait telah ditentukan (lihat 5.4.4)
perlu untuk melaksanakan perencanaan operasional dan koordinasi semua kegiatan dalam program.
b) menentukan tujuan, ruang lingkup dan kriteria untuk setiap audit individu;
c) memilih metode audit (lihat A.1);
d) mengoordinasikan dan menjadwalkan audit dan aktivitas lain yang relevan dengan
program audit; e) memastikan tim audit memiliki kompetensi yang diperlukan (lihat
5.5.4);
f) menyediakan sumber daya individu dan keseluruhan yang diperlukan untuk tim audit (lihat 5.4.4);
g) memastikan pelaksanaan audit sesuai dengan program audit, mengelola semua risiko operasional,
peluang dan masalah (misalnya, kejadian tak terduga), yang muncul selama penerapan program;
h) memastikan informasi terdokumentasi yang relevan mengenai kegiatan audit dikelola dan dipelihara
dengan baik (lihat 5.5.7);
i) menentukan dan menerapkan pengendalian operasional (lihat 5.6) yang diperlukan untuk
pemantauan program audit; j) meninjau program audit untuk mengidentifikasi peluang untuk
perbaikannya (lihat 5.7).
Tujuan audit menentukan apa yang harus dicapai oleh audit individu dan dapat mencakup hal-hal
berikut:
a) penentuan tingkat kesesuaian sistem manajemen yang akan diaudit, atau bagian-bagiannya, dengan
kriteria audit;
b) evaluasi kemampuan sistem manajemen untuk membantu organisasi dalam memenuhi persyaratan
perundang-undangan dan peraturan yang relevan serta persyaratan lain yang menjadi komitmen
organisasi;
c) evaluasi efektivitas sistem manajemen dalam memenuhi hasil yang diinginkan; d)
identifikasi peluang untuk potensi perbaikan sistem manajemen;
e) evaluasi kesesuaian dan kecukupan sistem manajemen sehubungan dengan konteks dan arahan
strategis auditee;
f) evaluasi kemampuan sistem manajemen untuk menetapkan dan mencapai tujuan dan secara efektif
menangani risiko dan peluang, dalam konteks yang berubah, termasuk implementasi tindakan
terkait.
Ruang lingkup audit harus konsisten dengan program audit dan tujuan audit. Ini mencakup faktor-faktor
seperti lokasi, fungsi, aktivitas dan proses yang diaudit, serta periode waktu yang dicakup oleh audit.
Kriteria audit digunakan sebagai acuan untuk menentukan kesesuaian. Ini dapat mencakup satu atau
lebih dari berikut ini: kebijakan, proses, prosedur, kriteria kinerja yang berlaku termasuk tujuan,
persyaratan perundang-undangan dan peraturan, persyaratan sistem manajemen, informasi mengenai
konteks dan risiko serta peluang yang ditentukan oleh auditi (termasuk eksternal / persyaratan pihak
yang berkepentingan internal), kode etik sektor atau pengaturan terencana lainnya.
Jika terjadi perubahan pada tujuan, ruang lingkup atau kriteria audit, program audit harus dimodifikasi
jika perlu dan dikomunikasikan kepada pihak yang berkepentingan, untuk mendapatkan persetujuan
jika sesuai.
Jika lebih dari satu disiplin ilmu diaudit pada saat yang sama, penting agar tujuan, ruang lingkup, dan
kriteria audit konsisten dengan program audit yang relevan untuk setiap disiplin. Beberapa disiplin ilmu
dapat memiliki ruang lingkup yang mencerminkan keseluruhan organisasi dan yang lainnya dapat
memiliki ruang lingkup yang mencerminkan bagian dari keseluruhan organisasi.
Audit dapat dilakukan di tempat, dari jarak jauh, atau sebagai kombinasi. Penggunaan metode ini harus
seimbang, antara lain berdasarkan pertimbangan risiko dan peluang yang terkait.
Jika dua atau lebih organisasi audit melakukan audit bersama atas auditi yang sama, individu yang
mengelola program audit yang berbeda harus menyetujui metode audit dan mempertimbangkan
implikasinya terhadap sumber daya dan perencanaan audit. Jika seorang auditi mengoperasikan dua
atau lebih sistem manajemen dari disiplin ilmu yang berbeda, audit gabungan dapat dimasukkan dalam
program audit.
Individu yang mengelola program audit harus menunjuk anggota tim audit, termasuk ketua tim dan
semua pakar teknis yang diperlukan untuk audit tertentu.
Tim audit harus dipilih, dengan mempertimbangkan kompetensi yang diperlukan untuk mencapai
tujuan audit individu dalam ruang lingkup yang ditentukan. Jika hanya ada satu auditor, auditor harus
melakukan semua tugas yang berlaku dari seorang ketua tim audit.
CATATAN Klausul 7 berisi panduan untuk menentukan kompetensi yang diperlukan untuk anggota tim audit dan
menjelaskan proses untuk mengevaluasi auditor.
Untuk memastikan kompetensi tim audit secara keseluruhan, langkah-langkah berikut harus dilakukan:
- identifikasi kompetensi yang diperlukan untuk mencapai tujuan audit; - pemilihan anggota tim audit
sehingga kompetensi yang diperlukan ada dalam tim audit.
Dalam menentukan ukuran dan komposisi tim audit untuk audit tertentu, pertimbangan harus
diberikan sebagai berikut:
a) kompetensi keseluruhan tim audit yang diperlukan untuk mencapai tujuan audit, dengan
mempertimbangkan ruang lingkup dan kriteria audit;
b) kompleksitas audit;
c) apakah audit tersebut merupakan audit gabungan atau gabungan;
d) metode audit yang dipilih;
e) memastikan objektivitas dan ketidakberpihakan untuk menghindari konflik kepentingan proses audit;
f) kemampuan anggota tim audit untuk bekerja dan berinteraksi secara efektif dengan perwakilan auditi
dan pihak terkait yang berkepentingan;
g) masalah eksternal / internal yang relevan, seperti bahasa audit, dan karakteristik sosial dan budaya
auditi. Masalah-masalah ini dapat diatasi baik dengan keterampilan auditor sendiri atau melalui
dukungan seorang ahli teknis, juga mempertimbangkan kebutuhan akan penerjemah;
Jika kompetensi yang diperlukan tidak tercakup oleh auditor dalam tim audit, ahli teknis dengan
kompetensi tambahan harus tersedia untuk mendukung tim tersebut.
Auditor-dalam-pelatihan dapat dimasukkan dalam tim audit, tetapi harus berpartisipasi di bawah
arahan dan bimbingan auditor.
Perubahan pada komposisi tim audit mungkin diperlukan selama audit, misalnya jika konflik
kepentingan atau masalah kompetensi muncul. Jika situasi seperti itu muncul, hal itu harus diselesaikan
dengan pihak yang sesuai (misalnya ketua tim audit, individu yang mengelola program audit, klien audit
atau auditi) sebelum perubahan apa pun dilakukan.
5.5.5 Menetapkan tanggung jawab untuk audit individu kepada ketua tim audit
Individu yang mengelola program audit harus menetapkan tanggung jawab untuk melakukan audit
individu kepada pemimpin tim audit.
Penugasan harus dilakukan dalam waktu yang cukup sebelum tanggal audit yang dijadwalkan, untuk
memastikan perencanaan audit yang efektif.
Untuk memastikan pelaksanaan audit individu yang efektif, informasi berikut harus diberikan kepada
ketua tim audit:
a) tujuan audit;
b) kriteria audit dan informasi terdokumentasi yang relevan;
c) ruang lingkup audit, termasuk identifikasi organisasi dan fungsi serta prosesnya yang diaudit;
i) informasi yang mendukung pemimpin tim audit dalam interaksinya dengan auditi untuk efektivitas
program audit.
- hasil pelaporan audit sebagaimana diperlukan dan kepada siapa itu akan didistribusikan;
- hal-hal yang berkaitan dengan kerahasiaan dan keamanan informasi, seperti yang dipersyaratkan
oleh program audit; - pengaturan kesehatan, keselamatan, dan lingkungan apa pun untuk auditor;
Jika audit bersama dilakukan, penting untuk mencapai kesepakatan di antara organisasi yang
melakukan audit, sebelum audit dimulai, tentang tanggung jawab khusus masing-masing pihak,
terutama yang berkaitan dengan wewenang ketua tim yang ditunjuk untuk audit.
a) evaluasi pencapaian tujuan untuk setiap audit dalam program audit; b) review dan persetujuan
laporan audit tentang pemenuhan ruang lingkup dan tujuan audit; c) penelaahan atas efektivitas
tindakan yang diambil untuk menangani temuan audit;
Bentuk dan tingkat kerincian rekaman harus menunjukkan bahwa tujuan program audit telah tercapai.
b) kinerja anggota tim audit termasuk ketua tim audit dan ahli teknis;
6.1 Umum
Klausul ini berisi panduan tentang persiapan dan pelaksanaan audit tertentu sebagai bagian dari
program audit. Gambar 2 memberikan gambaran umum tentang aktivitas yang dilakukan dalam audit
tipikal. Sejauh mana ketentuan klausul ini dapat diterapkan bergantung pada tujuan dan ruang lingkup
audit tertentu.
6.2.1 Umum
Tanggung jawab untuk melakukan audit harus tetap pada ketua tim audit yang ditugaskan (lihat 5.5.5)
sampai audit selesai (lihat 6.6).
Untuk memulai audit, langkah-langkah pada Gambar 1 harus dipertimbangkan; namun, urutannya dapat
berbeda bergantung pada auditi, proses, dan kondisi spesifik audit.
Ketua tim audit harus memastikan bahwa kontak dilakukan dengan auditi untuk:
d) meminta akses ke informasi yang relevan untuk tujuan perencanaan termasuk informasi tentang
risiko dan peluang yang telah diidentifikasi organisasi dan bagaimana menanganinya;
e) menentukan persyaratan perundang-undangan dan peraturan yang berlaku serta persyaratan lain
yang relevan dengan aktivitas, proses, produk, dan layanan yang diaudit;
f) mengkonfirmasi kesepakatan dengan auditee mengenai sejauh mana pengungkapan dan perlakuan
informasi rahasia;
i) menyetujui kehadiran pengamat dan kebutuhan pemandu atau juru bahasa untuk tim audit; j)
menentukan bidang minat, perhatian, atau risiko yang diaudit terkait dengan audit tertentu; k)
menyelesaikan masalah tentang komposisi tim audit dengan auditi atau klien audit.
a) informasi yang cukup dan tepat untuk perencanaan dan pelaksanaan audit; b)
kerjasama yang memadai dari auditi;
c) waktu dan sumber daya yang memadai untuk melaksanakan audit.
CATATAN Sumber daya termasuk akses ke teknologi informasi dan komunikasi yang memadai dan tepat.
Jika audit tidak memungkinkan, alternatif harus diusulkan kepada klien audit, sesuai dengan pihak yang
diaudit.
- mengumpulkan informasi untuk memahami operasi auditi dan untuk mempersiapkan kegiatan audit
dan dokumen kerja audit yang berlaku (lihat 6.3.1). 4), misalnya pada proses, fungsi;
- menetapkan gambaran umum tentang luas informasi yang terdokumentasi untuk menentukan
kemungkinan kesesuaian dengan kriteria audit dan mendeteksi kemungkinan area yang menjadi
perhatian, seperti defisiensi, kelalaian, atau konflik.
Informasi yang didokumentasikan harus mencakup, tetapi tidak terbatas pada: dokumen dan catatan
sistem manajemen, serta laporan audit sebelumnya. Kajian tersebut harus mempertimbangkan konteks
organisasi auditi, termasuk ukuran, sifat dan kompleksitasnya, serta risiko dan peluang yang terkait. Ini
juga harus mempertimbangkan ruang lingkup, kriteria dan tujuan audit.
Perencanaan audit harus mempertimbangkan risiko aktivitas audit pada proses yang diaudit dan
memberikan dasar untuk kesepakatan di antara klien audit, tim audit dan auditi tentang pelaksanaan
audit. Perencanaan harus memfasilitasi penjadwalan yang efisien dan koordinasi kegiatan audit untuk
mencapai tujuan secara efektif.
Jumlah detail yang diberikan dalam rencana audit harus mencerminkan ruang lingkup dan kompleksitas
audit, serta risiko tidak mencapai tujuan audit. Dalam merencanakan audit, ketua tim audit harus
mempertimbangkan hal-hal berikut:
d) risiko untuk mencapai tujuan audit yang diciptakan oleh perencanaan audit yang
tidak efektif; e) risiko yang ditimbulkan oleh auditee dengan melakukan audit.
Risiko bagi auditi dapat diakibatkan oleh kehadiran anggota tim audit yang secara negatif
mempengaruhi pengaturan auditi untuk kesehatan dan keselamatan, lingkungan dan kualitas, dan
produk, layanan, personel atau infrastrukturnya (misalnya kontaminasi di fasilitas kamar bersih).
Untuk audit gabungan, perhatian khusus harus diberikan pada interaksi antara proses operasional dan
tujuan serta prioritas yang bersaing dari sistem manajemen yang berbeda.
Skala dan isi perencanaan audit dapat berbeda, misalnya, antara audit awal dan audit berikutnya, serta
antara audit internal dan eksternal. Perencanaan audit harus cukup fleksibel untuk memungkinkan
perubahan yang mungkin diperlukan seiring dengan kemajuan aktivitas audit.
e) kebutuhan tim audit untuk membiasakan diri dengan fasilitas dan proses yang diaudit (misalnya
dengan melakukan tur ke lokasi fisik, atau meninjau teknologi informasi dan komunikasi);
f) metode audit yang akan digunakan, termasuk sejauh mana pengambilan sampel audit diperlukan
untuk memperoleh bukti audit yang cukup;
g) peran dan tanggung jawab anggota tim audit, serta pemandu dan pengamat atau juru bahasa;
h) alokasi sumber daya yang sesuai berdasarkan pertimbangan risiko dan peluang yang terkait dengan
aktivitas yang diaudit.
- tindakan spesifik apa pun yang harus diambil untuk mengatasi risiko dalam mencapai tujuan audit dan
peluang yang timbul;
Rencana audit harus dipresentasikan kepada auditi. Masalah apa pun dengan rencana audit harus
diselesaikan antara ketua tim audit, auditi dan, jika perlu, individu yang mengelola program audit.
audit Pemimpin tim audit, dalam konsultasi dengan tim audit, harus menugaskan kepada setiap anggota
tim tanggung jawab untuk mengaudit proses, kegiatan, fungsi atau lokasi tertentu dan, jika sesuai,
wewenang untuk pengambilan keputusan. Penugasan tersebut harus mempertimbangkan
ketidakberpihakan dan objektivitas dan kompetensi auditor dan penggunaan sumber daya yang efektif,
serta peran dan tanggung jawab auditor, auditor dalam pelatihan dan pakar teknis yang berbeda.
Rapat tim audit harus diadakan, jika sesuai, oleh ketua tim audit untuk mengalokasikan penugasan kerja
dan memutuskan kemungkinan perubahan. Perubahan penugasan dapat dilakukan seiring dengan
berjalannya audit untuk memastikan pencapaian tujuan audit.
Anggota tim audit harus mengumpulkan dan meninjau informasi yang relevan dengan penugasan audit
mereka dan menyiapkan informasi terdokumentasi untuk audit, menggunakan media yang sesuai.
Informasi yang didokumentasikan untuk audit dapat mencakup tetapi tidak terbatas pada:
CATATAN Panduan untuk menyiapkan dokumen kerja audit diberikan dalam A.13.
Informasi terdokumentasi yang disiapkan untuk, dan dihasilkan dari, audit harus disimpan setidaknya
sampai audit selesai, atau seperti yang ditentukan dalam program audit. Penyimpanan informasi yang
terdokumentasi setelah penyelesaian audit dijelaskan dalam 6.6. Informasi terdokumentasi yang dibuat
selama proses audit yang melibatkan informasi rahasia atau hak milik harus dijaga dengan baik setiap
saat oleh anggota tim audit.
6.4.1Umum
Auditbiasanya dilakukan dalam urutan yang ditentukan seperti yang ditunjukkan pada Gambar 1.
Urutan ini dapat bervariasi untuk menyesuaikan dengan kondisi audit tertentu.
Pemandu dan pengamat dapat mendampingi tim audit dengan persetujuan dari ketua tim audit, klien
audit dan / atau auditi, jika diperlukan. Mereka tidak boleh mempengaruhi atau mengganggu
pelaksanaan audit. Jika hal ini tidak dapat dijamin, pemimpin tim audit harus memiliki hak untuk
menolak kehadiran pengamat selama aktivitas audit tertentu.
Untuk pengamat, setiap pengaturan untuk akses, kesehatan dan keselamatan, lingkungan, keamanan
dan kerahasiaan harus dikelola antara klien audit dan auditi.
Panduan, yang ditunjuk oleh auditi, harus membantu tim audit dan bertindak atas permintaan ketua tim
audit atau auditor yang ditugaskan kepada mereka. Tanggung jawab mereka harus mencakup yang
berikut:
a) membantu auditor dalam mengidentifikasi individu untuk berpartisipasi dalam wawancara dan
memastikan waktu dan lokasi;
b) mengatur akses ke lokasi tertentu yang diaudit;
c) memastikan bahwa aturan mengenai pengaturan khusus lokasi untuk akses, kesehatan dan
keselamatan, lingkungan, keamanan, kerahasiaan, dan masalah lain diketahui dan dihormati oleh
anggota tim audit dan pengamat dan segala risiko ditangani;
Derajat detail harus konsisten dengan pengetahuan auditee dengan proses audit. Dalam banyak contoh,
misalnya audit internal dalam organisasi kecil, rapat pembukaan mungkin hanya berisi komunikasi
bahwa audit sedang dilaksanakan dan menjelaskan sifat audit.
Untuk situasi audit lainnya, pertemuan tersebut mungkin formal dan catatan kehadiran harus disimpan.
Rapat harus dipimpin oleh ketua tim audit.
- akses yang relevan, kesehatan dan keselamatan, keamanan, keadaan darurat, dan pengaturan lain
untuk tim audit; - aktivitas di lokasi yang dapat memengaruhi pelaksanaan audit.
Penyajian informasi tentang item berikut harus dipertimbangkan, jika sesuai: - metode
pelaporan temuan audit termasuk kriteria penilaian, jika ada; - kondisi di mana audit dapat
dihentikan;
Selama audit, mungkin perlu untuk membuat pengaturan formal untuk komunikasi dalam tim audit,
serta dengan auditi, klien audit dan kemungkinan dengan pihak eksternal yang berkepentingan
(misalnya regulator), terutama jika undang-undang dan peraturan perundang-undangan. persyaratan
peraturan membutuhkan pelaporan wajib atas ketidaksesuaian.
Tim audit harus berunding secara berkala untuk bertukar informasi, menilai kemajuan audit dan
menugaskan kembali pekerjaan antara anggota tim audit, sesuai kebutuhan.
Selama audit, ketua tim audit harus secara berkala mengkomunikasikan kemajuan, temuan penting, dan
kekhawatiran apa pun kepada auditi dan klien audit, jika sesuai. Bukti yang dikumpulkan selama audit
yang menunjukkan risiko langsung dan signifikan harus segera dilaporkan kepada auditi dan, jika
sesuai, kepada klien audit. Setiap kekhawatiran tentang masalah di luar ruang lingkup audit harus
dicatat dan dilaporkan kepada ketua tim audit, untuk kemungkinan komunikasi dengan klien audit dan
auditi.
Jika bukti audit yang tersedia menunjukkan bahwa tujuan audit tidak dapat dicapai, ketua tim audit
harus melaporkan alasannya kepada klien audit dan auditi untuk menentukan tindakan yang tepat.
Tindakan tersebut dapat mencakup perubahan pada perencanaan audit, tujuan audit atau ruang lingkup
audit, atau penghentian audit.
Setiap kebutuhan untuk perubahan pada rencana audit yang mungkin terlihat sebagai kemajuan
aktivitas audit harus ditinjau dan diterima, jika sesuai, oleh individu yang mengelola program audit dan
klien audit, dan disajikan kepada auditi.
audit Metode audit yang dipilih untuk suatu audit bergantung pada tujuan, ruang lingkup dan kriteria
audit yang ditetapkan, serta durasi dan lokasi. Lokasi adalah tempat informasi yang dibutuhkan untuk
aktivitas audit tertentu tersedia bagi tim audit. Ini mungkin termasuk lokasi fisik dan virtual.
Di mana, kapan, dan bagaimana mengakses informasi audit sangat penting untuk audit. Ini tidak
tergantung di mana informasi dibuat, digunakan dan / atau disimpan. Berdasarkan masalah ini, metode
audit perlu ditentukan (lihat Tabel A.1). Audit dapat menggunakan berbagai metode. Selain itu, kondisi
audit dapat berarti bahwa metode tersebut perlu diubah selama audit.
Jika informasi terdokumentasi yang memadai tidak dapat diberikan dalam kerangka waktu yang
diberikan dalam rencana audit, ketua tim audit harus memberi tahu individu yang mengelola program
audit dan auditi. Bergantung pada tujuan dan ruang lingkup audit, keputusan harus dibuat, apakah audit
harus dilanjutkan atau ditangguhkan hingga masalah informasi yang terdokumentasi diselesaikan.
Selama audit, informasi yang relevan dengan tujuan, ruang lingkup dan kriteria audit, termasuk
informasi yang berkaitan dengan antarmuka antara fungsi, aktivitas, dan proses harus dikumpulkan
dengan cara pengambilan sampel yang tepat dan harus diverifikasi, sejauh dapat dipraktikkan. .
Hanya informasi yang dapat diverifikasi sampai tingkat tertentu yang harus diterima sebagai bukti
audit. Jika tingkat verifikasi rendah, auditor harus menggunakan pertimbangan profesional mereka
untuk menentukan tingkat kepercayaan yang dapat digunakan sebagai bukti. Bukti audit yang mengarah
pada temuan audit harus dicatat. Jika, selama pengumpulan bukti obyektif, tim audit menyadari adanya
keadaan baru atau berubah, atau risiko atau peluang, hal ini harus ditangani oleh tim sebagaimana
mestinya.
Gambar 2 memberikan gambaran umum tentang proses yang khas, mulai dari mengumpulkan informasi
hingga mencapai kesimpulan audit.
- observasi;
- review informasi yang terdokumentasi.
CATATAN 3 Panduan pemilihan sumber informasi dan observasi diberikan dalam A.14.
audit Bukti audit harus dievaluasi terhadap kriteria audit untuk menentukan temuan audit. Temuan
audit dapat menunjukkan kesesuaian atau ketidaksesuaian dengan kriteria audit. Jika ditentukan oleh
rencana audit, temuan audit individu harus mencakup kesesuaian dan praktik yang baik bersama
dengan bukti pendukungnya, peluang untuk perbaikan, dan setiap rekomendasi kepada auditi.
Tim audit harus bertemu jika diperlukan untuk meninjau temuan audit pada tahapan yang sesuai
selama audit. CATATAN 1 Panduan tambahan tentang identifikasi dan evaluasi temuan audit diberikan dalam
A.18.
CATATAN 2 Kesesuaian atau ketidaksesuaian dengan kriteria audit yang terkait dengan persyaratan
perundang-undangan atau peraturan atau persyaratan lainnya, kadang-kadang disebut sebagai kepatuhan atau
ketidakpatuhan.
a) meninjau temuan audit dan setiap informasi yang tepat lainnya yang dikumpulkan selama audit,
terhadap tujuan audit;
a) tingkat kesesuaian dengan kriteria audit dan kekuatan sistem manajemen, termasuk keefektifan
sistem manajemen dalam memenuhi hasil yang diinginkan, identifikasi risiko dan efektivitas
tindakan yang diambil oleh auditee untuk menangani risiko;
b) penerapan, pemeliharaan, dan peningkatan sistem manajemen yang efektif; c) pencapaian
tujuan audit, cakupan ruang lingkup audit dan pemenuhan kriteria audit;
d) temuan serupa yang dibuat di area berbeda yang diaudit atau dari audit bersama atau audit
sebelumnya untuk tujuan mengidentifikasi tren.
Jika ditentukan oleh rencana audit, kesimpulan audit dapat mengarah pada rekomendasi untuk
perbaikan, atau kegiatan audit di masa depan.
Rapat penutupan harus dipimpin oleh ketua tim audit dan dihadiri oleh manajemen auditee dan
mencakup, sebagaimana berlaku:
- mereka yang bertanggung jawab atas fungsi atau proses yang telah diaudit; -
klien audit;
Derajat kerincian harus mempertimbangkan keefektifan sistem manajemen dalam mencapai tujuan
auditi, termasuk pertimbangan konteks dan risiko serta peluangnya.
Keakraban auditee dengan proses audit juga harus dipertimbangkan selama rapat penutupan, untuk
memastikan tingkat detail yang benar diberikan kepada peserta.
Untuk beberapa situasi audit, rapat dapat bersifat formal dan notulen, termasuk catatan kehadiran,
harus disimpan. Dalam contoh lain, misalnya audit internal, rapat penutupan bisa jadi tidak terlalu
formal dan hanya terdiri dari mengkomunikasikan temuan audit dan kesimpulan audit.
Jika sesuai, berikut ini harus dijelaskan kepada auditi dalam rapat penutupan:
a) memberi tahu bahwa bukti audit yang dikumpulkan didasarkan pada sampel informasi yang tersedia
dan belum tentu sepenuhnya mewakili keefektifan keseluruhan proses yang diaudit;
b) metode pelaporan;
c) bagaimana temuan audit harus ditangani berdasarkan proses yang disepakati;
d) konsekuensi yang mungkin terjadi jika tidak menangani temuan audit secara memadai;
e) penyajian temuan dan kesimpulan audit sedemikian rupa sehingga dapat dipahami dan diakui oleh
manajemen auditi;
f) semua aktivitas pasca-audit terkait (misalnya implementasi dan peninjauan tindakan korektif,
menangani keluhan audit, proses banding).
Setiap perbedaan pendapat tentang temuan audit atau kesimpulan antara tim audit dan auditi harus
dibahas dan, jika memungkinkan, diselesaikan. Jika tidak terselesaikan, ini harus dicatat.
Jika ditentukan oleh tujuan audit, peluang untuk rekomendasi perbaikan dapat disajikan. Perlu
ditekankan bahwa rekomendasi tidak mengikat.
a) tujuan audit;
b) ruang lingkup audit, terutama identifikasi organisasi (auditi) dan fungsi atau proses yang diaudit;
Laporan audit juga dapat mencakup atau mengacu pada hal-hal berikut, jika sesuai:
- rencana audit termasuk jadwal waktu;
- ringkasan proses audit, termasuk setiap kendala yang dihadapi yang dapat menurunkan keandalan
kesimpulan audit;
- konfirmasi bahwa tujuan audit telah dicapai dalam ruang lingkup audit sesuai dengan rencana audit;
- setiap area dalam ruang lingkup audit yang tidak tercakup termasuk masalah ketersediaan bukti,
sumber daya, atau kerahasiaan, dengan justifikasi terkait;
- ringkasan yang mencakup kesimpulan audit dan temuan audit utama yang mendukungnya; -
teridentifikasi praktik baik;
Laporan audit harus diberi tanggal, ditinjau dan diterima, jika sesuai, sesuai dengan program audit.
Laporan audit kemudian harus didistribusikan ke pihak terkait terkait yang ditetapkan dalam program
audit atau rencana audit.
Saat mendistribusikan laporan audit, tindakan yang tepat untuk memastikan kerahasiaan harus
dipertimbangkan.
Informasi terdokumentasi yang berkaitan dengan audit harus disimpan atau dibuang berdasarkan
kesepakatan antara pihak yang berpartisipasi dan sesuai dengan program audit dan persyaratan yang
berlaku.
Kecuali diwajibkan oleh undang-undang, tim audit dan individu yang mengelola program audit tidak
boleh mengungkapkan informasi apa pun yang diperoleh selama audit, atau laporan audit, kepada pihak
lain mana pun tanpa persetujuan eksplisit dari klien audit dan, jika sesuai, persetujuan auditi. Jika
pengungkapan isi dokumen audit diperlukan, klien audit dan auditi harus diberitahu secepat mungkin.
Pembelajaran dari audit dapat mengidentifikasi risiko dan peluang untuk program audit dan auditi.
Penyelesaian dan efektivitas tindakan ini harus diverifikasi. Verifikasi ini mungkin menjadi bagian dari
audit berikutnya. Hasil harus dilaporkan kepada individu yang mengelola program audit dan dilaporkan
kepada klien audit untuk tinjauan manajemen.
7.1Umum
Keyakinandalam proses audit dan kemampuan untuk mencapai tujuannya bergantung pada kompetensi
individu yang terlibat dalam pelaksanaan audit, termasuk auditor dan ketua tim audit. Kompetensi
harus dievaluasi secara berkala melalui proses yang mempertimbangkan perilaku pribadi dan
kemampuan untuk menerapkan pengetahuan dan keterampilan yang diperoleh melalui pendidikan,
pengalaman kerja, pelatihan auditor dan pengalaman audit. Proses ini harus mempertimbangkan
kebutuhan program audit dan tujuannya. Beberapa pengetahuan dan keterampilan yang dijelaskan
dalam 7.2.3 adalah umum bagi auditor dari setiap disiplin sistem manajemen; yang lain khusus untuk
disiplin sistem manajemen individu. Tidak perlu setiap auditor dalam tim audit memiliki kompetensi
yang sama. Namun, kompetensi tim audit secara keseluruhan harus cukup untuk mencapai tujuan audit.
d) melakukan evaluasi.
Hasil dari proses evaluasi harus memberikan dasar untuk hal-hal berikut: -
pemilihan anggota tim audit (seperti yang dijelaskan dalam 5.5.4);
Proses untuk mengevaluasi auditor dan ketua tim audit dijelaskan dalam 7.3, 7.4 dan 7.5.
Auditor dan ketua tim audit harus dievaluasi berdasarkan kriteria yang ditetapkan dalam 7.2.2 dan 7.2.3
serta kriteria yang ditetapkan dalam 7.1.
Kompetensi yang dibutuhkan individu yang mengelola program audit dijelaskan dalam 5.4.2. 7.2
7.2.1 Umum
Dalam memutuskan kompetensi yang diperlukan untuk suatu audit, pengetahuan dan keterampilan
auditor yang terkait dengan hal-hal berikut harus dipertimbangkan:
j) mampu bertindak dengan ketabahan, yaitu mampu bertindak secara bertanggung jawab dan etis,
meskipun tindakan ini mungkin tidak selalu populer dan terkadang dapat mengakibatkan
perselisihan atau konfrontasi;
7.2.3.1Umum
Auditorharus memiliki:
a) pengetahuan dan keterampilan yang diperlukan untuk mencapai hasil audit yang diharapkan yang
diharapkan untuk mereka lakukan;
b) kompetensi umum dan tingkat disiplin serta pengetahuan dan keterampilan khusus sektor.
Pemimpin tim audit harus memiliki pengetahuan dan keterampilan tambahan yang diperlukan untuk
memberikan kepemimpinan kepada tim audit.
Auditor harus memiliki pengetahuan dan keterampilan dalam bidang yang diuraikan di bawah ini.
a) Prinsip, proses dan metode audit: pengetahuan dan keterampilan di bidang ini memungkinkan
auditor untuk memastikan audit dilakukan secara konsisten dan sistematis.
- memahami kesesuaian dan konsekuensi penggunaan teknik pengambilan sampel untuk audit; -
memahami dan mempertimbangkan pendapat ahli teknis;
- mengaudit proses dari awal sampai akhir, termasuk keterkaitan dengan proses lain dan fungsi
yang berbeda, jika sesuai;
- mengonfirmasi kecukupan dan kesesuaian bukti audit untuk mendukung temuan dan kesimpulan
audit;
- menilai faktor-faktor yang dapat mempengaruhi keandalan temuan dan kesimpulan audit;
- mendokumentasikan kegiatan audit dan temuan audit, dan menyiapkan laporan;
- standar sistem manajemen atau dokumen normatif atau pedoman / pendukung lain yang
digunakan untuk menetapkan audit kriteria atau metode;
- penerapan standar sistem manajemen oleh auditi dan organisasi lain; - hubungan dan
interaksi antara proses sistem manajemen; - memahami pentingnya dan prioritas berbagai
standar atau referensi; - penerapan standar atau referensi untuk situasi audit yang berbeda.
c) Organisasi dan konteksnya: pengetahuan dan keterampilan di bidang ini memungkinkan auditor
untuk memahami struktur, tujuan, dan praktik manajemen yang diaudit dan harus mencakup hal-hal
berikut:
- kebutuhan dan ekspektasi pihak berkepentingan terkait yang berdampak pada sistem
manajemen; - jenis organisasi, tata kelola, ukuran, struktur, fungsi dan hubungan;
- konsep bisnis dan manajemen umum, proses dan terminologi terkait, termasuk perencanaan,
penganggaran dan manajemen individu;
Tim audit harus memiliki disiplin kolektif dan kompetensi khusus sektor yang sesuai untuk mengaudit
jenis sistem dan sektor manajemen tertentu.
b) dasar-dasar disiplin dan sektor yang terkait dengan standar sistem manajemen seperti yang
diterapkan oleh auditee;
c) penerapan disiplin dan metode, teknik, proses, dan praktik khusus sektor untuk memungkinkan tim
audit menilai kesesuaian dalam ruang lingkup audit yang ditentukan dan menghasilkan temuan dan
kesimpulan audit yang sesuai;
d) prinsip, metode dan teknik yang relevan dengan disiplin ilmu dan sektor, sehingga auditor dapat
menentukan dan mengevaluasi risiko dan peluang yang terkait dengan tujuan audit.
Untuk memfasilitasi pelaksanaan audit yang efisien dan efektif, pemimpin tim audit harus memiliki
kompetensi untuk:
a) merencanakan audit dan menetapkan tugas audit sesuai dengan kompetensi spesifik dari
masing-masing anggota tim audit ;
b) mendiskusikan masalah strategis dengan manajemen puncak auditee untuk menentukan apakah
mereka telah mempertimbangkan masalah ini saat mengevaluasi risiko dan peluang mereka;
c) mengembangkan dan memelihara hubungan kerja kolaboratif di antara anggota tim audit; d)
mengelola proses audit, termasuk:
Pemimpin tim audit harus memahami persyaratan dari setiap standar sistem manajemen yang diaudit
dan mengenali batasan kompetensi mereka di setiap disiplin ilmu.
CATATAN Audit dari berbagai disiplin ilmu yang dilakukan secara bersamaan dapat dilakukan sebagai audit
gabungan atau sebagai audit sistem manajemen terintegrasi yang mencakup berbagai disiplin ilmu.
a) berhasil menyelesaikan program pelatihan yang mencakup pengetahuan dan keterampilan auditor umum;
b) pengalaman dalam posisi teknis, manajerial atau profesional yang relevan yang melibatkan
pelaksanaan penilaian, pengambilan keputusan, pemecahan masalah dan komunikasi dengan
manajer, profesional, rekan kerja, pelanggan dan pihak berkepentingan terkait lainnya;
c) pendidikan / pelatihan dan pengalaman dalam disiplin dan sektor sistem manajemen tertentu yang
berkontribusi pada pengembangan kompetensi secara keseluruhan;
d) pengalaman audit yang diperoleh di bawah pengawasan auditor yang kompeten dalam disiplin yang
sama.
CATATAN Berhasil menyelesaikan kursus pelatihan akan bergantung pada jenis kursus. Untuk mata kuliah dengan
komponen ujian, ini berarti berhasil lulus ujian. Untuk kursus lain, ini berarti berpartisipasi dan menyelesaikan
kursus.
Seorang pemimpin tim audit harus memperoleh pengalaman audit tambahan untuk mengembangkan
kompetensi yang dijelaskan dalam 7.2.3.4. Pengalaman tambahan ini seharusnya diperoleh dengan
bekerja di bawah arahan dan bimbingan dari ketua tim audit yang berbeda.
a) metode yang diuraikan mewakili berbagai pilihan dan mungkin tidak berlaku di semua
situasi; b) berbagai metode yang diuraikan mungkin berbeda dalam keandalannya;
c) kombinasi metode harus digunakan untuk memastikan hasil yang obyektif, konsisten, adil dan dapat
diandalkan.
Review catatan Untuk memverifikasi latar belakang Analisis catatan pendidikan, pelatihan,
auditor pekerjaan, kredensial profesional dan
pengalaman audit
Pengujian Untuk mengevaluasi perilaku dan Ujian lisan dan tertulis, pengujian
pengetahuan yang diinginkan dan psikometri
keterampilan dan aplikasinya
Review pasca-audit Untuk memberikan informasi tentang Review laporan audit, wawancara
kinerja auditor selama kegiatan audit, dengan ketua tim audit, tim audit dan,
id menentukan kekuatan dan peluang jika sesuai, umpan balik dari auditee
untuk perbaikan
tidak memenuhi kriteria, maka pelatihan tambahan, pengalaman kerja atau audit harus dilakukan dan
-evaluasi harus dilakukan.
Lampiran A
(informatif)
Kinerja audit melibatkan interaksi antara individu dalam sistem manajemen yang diaudit dan teknologi
yang digunakan untuk melakukan audit. Tabel A.1 memberikan contoh metode audit yang dapat
digunakan, secara tunggal atau kombinasi, untuk mencapai tujuan audit. Jika audit melibatkan
penggunaan tim audit dengan banyak anggota, metode di tempat dan jarak jauh dapat digunakan secara
bersamaan.
CATATAN Informasi tambahan tentang mengunjungi lokasi fisik diberikan dalam A.15.
Tidak ada interaksi Melakukan tinjauan dokumen (mis. Melakukan tinjauan dokumen (mis.
manusia Rekaman, analisis data) Catatan, analisis data)
Mengamati pekerjaan yang dilakukan Mengamati pekerjaan yang dilakukan
melalui sarana pengawasan,
Melakukan kunjungan di tempat
mempertimbangkan sosial dan
Melengkapi daftar periksa persyaratan undang-undang dan
Pengambilan sampel (mis. Produk) peraturan
Menganalisis data
Aktivitas audit di tempat dilakukan di lokasi auditi. Aktivitas audit jarak jauh dilakukan di tempat lain selain lokasi auditi,
terlepas dari jaraknya.
Kegiatan audit interaktif melibatkan interaksi antara personel auditi dan tim audit. Aktivitas audit non-interaktif tidak
melibatkan interaksi manusia dengan individu yang mewakili auditi tetapi melibatkan interaksi dengan peralatan, fasilitas,
dan dokumentasi.
Tanggung jawab penerapan metode audit yang efektif untuk setiap audit tertentu dalam tahap
perencanaan tetap berada pada individu yang mengelola program audit atau ketua tim audit. Pimpinan
tim audit memiliki tanggung jawab ini untuk melakukan aktivitas audit.
Pada tingkat program audit, harus dipastikan bahwa penggunaan penerapan metode audit jarak jauh
dan di tempat sudah sesuai dan seimbang, untuk memastikan pencapaian tujuan program audit yang
memuaskan.
Tidak adanya proses atau dokumentasi bisa menjadi penting dalam risiko tinggi atau organisasi yang
kompleks tetapi tidak begitu signifikan di organisasi lain.
Juga harus dipertimbangkan apakah informasi yang diverifikasi memberikan bukti obyektif yang cukup
untuk menunjukkan bahwa persyaratan dipenuhi.
Jika informasi diberikan dengan cara selain yang diharapkan (misalnya oleh individu yang berbeda,
media alternatif), integritas bukti harus dinilai.
Perhatian khusus diperlukan untuk keamanan informasi karena peraturan yang berlaku tentang
perlindungan data (khususnya untuk informasi yang berada di luar ruang lingkup audit, tetapi juga
terkandung dalam dokumen).
A.6.1Umum
sampel Auditterjadi ketika tidak praktis atau hemat biaya untuk memeriksa semua informasi yang
tersedia selama audit, misalnya catatan terlalu banyak atau terlalu tersebar secara geografis untuk
membenarkan pemeriksaan setiap item dalam populasi. Sampling audit dari populasi yang besar adalah
proses memilih kurang dari 100% item dalam total kumpulan data yang tersedia (populasi) untuk
mendapatkan dan mengevaluasi bukti tentang beberapa karakteristik populasi tersebut, untuk
membentuk kesimpulan tentang populasi.
Tujuan dari pengambilan sampel audit adalah untuk memberikan informasi kepada auditor agar yakin
bahwa tujuan audit dapat atau akan dicapai.
Risiko yang terkait dengan pengambilan sampel adalah bahwa sampel mungkin tidak mewakili populasi
tempat mereka dipilih. Dengan demikian, kesimpulan auditor mungkin bias dan berbeda dari
kesimpulan yang akan dicapai jika seluruh populasi diperiksa. Mungkin ada risiko lain tergantung pada
variabilitas dalam populasi yang akan diambil sampelnya dan metode yang dipilih.
Pelaporan sampel yang dipilih dapat mempertimbangkan ukuran sampel, metode pemilihan, dan
perkiraan yang dibuat berdasarkan sampel dan tingkat kepercayaan.
Audit dapat menggunakan pengambilan sampel berbasis penilaian (lihat A.6.2) atau
berbasis penilaian bergantung pada kompetensi dan pengalaman tim audit (lihat Klausul 7). Untuk
pengambilan sampel berbasis pertimbangan, berikut ini dapat dipertimbangkan:
Kelemahan dari pengambilan sampel berbasis penilaian adalah bahwa tidak ada estimasi statistik
tentang pengaruh ketidakpastian dalam temuan audit dan kesimpulan yang diambil.
Rancangan sampling statistik menggunakan proses pemilihan sampel berdasarkan teori probabilitas.
Pengambilan sampel berbasis atribut digunakan jika hanya ada dua kemungkinan hasil sampel untuk
setiap sampel (misalnya benar / salah atau lulus / gagal). Pengambilan sampel berbasis variabel
digunakan ketika hasil sampel terjadi dalam rentang yang berkelanjutan.
Rencana pengambilan sampel harus mempertimbangkan apakah hasil yang diperiksa kemungkinan
besar berbasis atribut atau berbasis variabel. Misalnya, ketika mengevaluasi kesesuaian formulir yang
telah diisi dengan persyaratan yang ditetapkan dalam prosedur, pendekatan berbasis atribut dapat
digunakan. Saat memeriksa terjadinya insiden keamanan pangan atau jumlah pelanggaran keamanan,
pendekatan berbasis variabel kemungkinan akan lebih tepat.
Ketika pengambilan sampel statistik digunakan, auditor harus mendokumentasikan pekerjaan yang
dilakukan dengan tepat. Ini harus mencakup deskripsi populasi yang akan dijadikan sampel, kriteria
pengambilan sampel yang digunakan untuk evaluasi (misalnya sampel apa yang dapat diterima),
parameter statistik dan metode yang digunakan, jumlah sampel yang dievaluasi dan hasil yang
diperoleh.
Selain pedoman umum yang diberikan dalam dokumen ini, ketika menilai proses yang telah
dilaksanakan oleh auditi untuk memastikan kepatuhan dengan persyaratan yang relevan, tim audit
harus mempertimbangkan apakah auditi:
1) memiliki proses yang efektif untuk mengidentifikasi perubahan dalam persyaratan kepatuhan dan
untuk menganggapnya sebagai bagian dari manajemen perubahan;
3) memelihara dan memberikan informasi terdokumentasi yang sesuai tentang status kepatuhannya
seperti yang dipersyaratkan oleh regulator atau pihak berkepentingan lainnya;
Auditor harus memastikan bahwa proses yang sesuai telah dikembangkan untuk ini dan digunakan
secara efektif, sehingga hasilnya memberikan dasar yang dapat diandalkan untuk menentukan ruang
lingkup dan pengembangan sistem manajemen. Untuk melakukan ini, auditor harus
mempertimbangkan bukti obyektif yang terkait dengan hal-hal berikut:
Auditor harus memiliki pengetahuan spesifik sektor yang relevan dan pemahaman tentang alat
manajemen yang dapat digunakan organisasi untuk membuat penilaian mengenai keefektifan proses
yang digunakan untuk menentukan konteks.
Auditor harus memperoleh bukti obyektif tentang sejauh mana manajemen puncak terlibat dalam
pengambilan keputusan terkait dengan sistem manajemen dan bagaimana hal itu menunjukkan
komitmen untuk memastikan keefektifannya. Ini dapat dicapai dengan meninjau hasil dari proses yang
relevan (misalnya kebijakan, tujuan, sumber daya yang tersedia, komunikasi dari manajemen puncak)
dan dengan mewawancarai staf untuk menentukan tingkat keterlibatan manajemen puncak.
Auditor juga harus bertujuan untuk mewawancarai manajemen puncak untuk memastikan bahwa
mereka memiliki pemahaman yang memadai tentang masalah spesifik disiplin yang relevan dengan
sistem manajemen mereka, bersama dengan konteks organisasi mereka beroperasi, sehingga mereka
dapat memastikan bahwa sistem manajemen mencapai hasil yang diinginkan. .
Auditor hendaknya tidak hanya fokus pada kepemimpinan di tingkat manajemen puncak tetapi juga
harus mengaudit kepemimpinan dan komitmen di tingkat manajemen lain, jika sesuai.
Audit pendekatan organisasi untuk penentuan risiko dan peluang tidak boleh dilakukan sebagai
aktivitas yang berdiri sendiri. Ini harus tersirat selama seluruh audit sistem manajemen, termasuk saat
mewawancarai manajemen puncak. Auditor harus bertindak sesuai dengan langkah-langkah berikut
dan mengumpulkan bukti obyektif sebagai berikut:
a) masukan yang digunakan oleh organisasi untuk menentukan risiko dan peluangnya, yang dapat
mencakup: - analisis masalah eksternal dan internal;
- potensi sumber risiko seperti aspek lingkungan, dan bahaya keselamatan, dll.
B) metode di mana risiko dan peluang dievaluasi, yang dapat berbeda antara disiplin ilmu dan sektor.
Perlakuan organisasi atas risiko dan peluangnya, termasuk tingkat risiko yang ingin diterima dan cara
pengendaliannya, akan membutuhkan penerapan pertimbangan profesional oleh auditor.
lingkup audit rantai pasokan dapat berbeda, misalnya lengkap Audit sistem manajemen, proses audit
tunggal, pemeriksaan produk, pemeriksaan konfigurasi.
a) Catatan audit mana yang akan dibuat dengan menggunakan dokumen kerja ini?
b) Aktivitas audit mana yang terkait dengan dokumen kerja khusus ini?
c) Siapa yang akan menjadi pengguna dokumen kerja ini?
d) Informasi apa yang diperlukan untuk menyiapkan dokumen kerja ini?
Untuk audit gabungan, dokumen kerja harus dikembangkan untuk menghindari duplikasi aktivitas
audit dengan: - pengelompokan persyaratan serupa dari kriteria yang berbeda;
d) rekaman, seperti rekaman inspeksi, risalah rapat, laporan audit, rekaman program pemantauan dan
hasil pengukuran;
g) laporan dari sumber lain, misalnya umpan balik pelanggan, survei dan pengukuran eksternal,
informasi relevan lainnya dari pihak eksternal dan peringkat penyedia eksternal;
a) Perencanaan kunjungan:
- memastikan izin dan akses ke bagian lokasi auditi tersebut, untuk dikunjungi sesuai dengan ruang
lingkup auditnya;
- memberikan informasi yang memadai kepada auditor tentang keamanan, kesehatan (misalnya
karantina), kesehatan dan keselamatan kerja dan norma budaya dan jam kerja untuk kunjungan
termasuk vaksinasi yang diminta dan direkomendasikan dan izin, jika berlaku;
- konfirmasi dengan auditi bahwa alat pelindung diri (APD) yang diperlukan akan tersedia untuk
tim audit, jika ada;
- mengkonfirmasi pengaturan dengan auditee mengenai penggunaan perangkat seluler dan kamera
termasuk merekam informasi seperti foto lokasi dan peralatan, salinan screen shot atau
fotokopi dokumen, video kegiatan dan wawancara, dengan mempertimbangkan masalah
keamanan dan kerahasiaan;
- kecuali untuk audit ad hoc yang tidak terjadwal, pastikan bahwa personel yang dikunjungi akan
diberi tahu tentang tujuan dan ruang lingkup audit.
b) Kegiatan di lokasi:
- hindari gangguan yang tidak perlu dari proses operasional;
- memastikan bahwa tim audit menggunakan APD dengan benar (jika ada);
- memastikan prosedur darurat dikomunikasikan (misalnya pintu keluar darurat, titik
berkumpul); - Jadwalkan komunikasi untuk meminimalkan gangguan;
- menyesuaikan ukuran tim audit dan jumlah pemandu dan pengamat sesuai dengan ruang lingkup
audit, untuk menghindari gangguan pada proses operasional sejauh mungkin;
- jangan menyentuh atau memanipulasi peralatan apa pun, kecuali diizinkan secara eksplisit,
bahkan jika kompeten atau berlisensi;
- jika suatu insiden terjadi selama kunjungan di lokasi, ketua tim audit harus meninjau situasi
dengan auditi dan, jika perlu, dengan klien audit dan mencapai kesepakatan tentang apakah
audit harus diinterupsi, dijadwalkan ulang atau dilanjutkan;
- jika mengambil salinan dokumen di media apa pun, mintalah izin terlebih dahulu dan
pertimbangkan kerahasiaan dan masalah keamanan;
- saat membuat catatan, hindari mengumpulkan informasi pribadi kecuali diharuskan oleh tujuan
audit atau kriteria audit.
- jika mengambil salinan tangkapan layar dari dokumen apa pun, mintalah izin sebelumnya dan
pertimbangkan kerahasiaan dan masalah keamanan dan hindari merekam individu tanpa izin
mereka;
- jika insiden terjadi selama akses jarak jauh, ketua tim audit harus meninjau situasi dengan auditi
dan, jika perlu, dengan klien audit dan mencapai kesepakatan tentang apakah audit harus
diinterupsi, dijadwalkan ulang atau dilanjutkan;
Audit virtual mengikuti proses audit standar sambil menggunakan teknologi untuk memverifikasi bukti
objektif. Auditee dan tim audit harus memastikan persyaratan teknologi yang tepat untuk audit virtual
yang dapat mencakup:
- memastikan tim audit menggunakan protokol akses jarak jauh yang disepakati, termasuk perangkat
yang diminta, perangkat lunak, dll .;
Saat melakukan pertemuan pembukaan atau audit secara virtual, auditor harus mempertimbangkan dan
hal-hal berikut ini:
- meminta izin sebelumnya untuk mengambil salinan tangkapan layar dokumen atau rekaman apa pun,
dan mempertimbangkan masalah kerahasiaan dan keamanan;
- memastikan kerahasiaan dan privasi selama jeda audit misalnya dengan mematikan mikrofon,
menjeda kamera.
a) wawancara harus dilakukan dengan individu dari tingkat dan fungsi yang sesuai yang melaksanakan
kegiatan atau tugas dalam ruang lingkup audit;
b) wawancara biasanya harus dilakukan selama jam kerja normal dan, jika memungkinkan, di tempat
kerja normal dari individu yang diwawancarai;
c) upaya harus dilakukan untuk membuat individu yang diwawancarai dengan nyaman sebelum dan
selama wawancara;
g) kesadaran akan komunikasi non-verbal yang terbatas dalam pengaturan virtual; alih-alih fokus harus
pada jenis pertanyaan yang akan digunakan dalam menemukan bukti obyektif;
h) hasil dari wawancara harus diringkas dan ditinjau dengan individu yang diwawancarai;
i) individu yang diwawancarai harus berterima kasih atas partisipasi dan kerjasamanya.
f) ukuran sampel;
g) kategorisasi (jika ada) dari temuan audit.
Tergantung pada pengaturan dengan klien audit, auditor dapat memandu auditi tentang cara
menanggapi temuan tersebut.
© ISO 2018 - Semua hak dilindungi undang-undang 45
ISO 19011: 2018 (E)
Daftar Pustaka
[1] ISO 9000: 2015, Sistem manajemen mutu - Dasar-dasar dan kosakata [ 2] ISO