STANDAR INTERNASIONAL ISO 19011: 2018

Panduan untuk audit sistem manajemen

1. Cakupan
Dokumen ini memberikan panduan tentang audit sistem manajemen, termasuk prinsip-prinsip
audit, mengelola program audit dan melakukan audit sistem manajemen, serta panduan tentang
evaluasi kompetensi individu yang terlibat dalam proses audit. Kegiatan ini termasuk individu
yang mengelola program audit, auditor dan tim audit.
Ini berlaku untuk semua organisasi yang perlu merencanakan dan melakukan audit internal atau
eksternal sistem manajemennya atau mengelola program audit.
Penerapan dokumen ini untuk jenis audit lain dimungkinkan, asalkan pertimbangan khusus
diberikan kepada kompetensi khusus yang diperlukan.

2. Acuan normatif
Tidak ada referensi normatif dalam dokumen ini.

3. Ketentuan dan definisi

Untuk keperluan dokumen ini, istilah dan definisi berikut berlaku.
ISO dan IEC memelihara database terminologis untuk digunakan dalam standardisasi di alamat
berikut:
- Platform penelusuran Online ISO: tersedia di https: // www .iso .org / obp
- IEC Electropedia: tersedia di http: // www .electropedia .org /
3.1 audit
proses yang sistematis, independen dan terdokumentasi untuk memperoleh bukti objektif ( 3.8 )
dan mengevaluasinya secara obyektif untuk menentukan sejauh mana kriteria audit ( 3.7 )
terpenuhi
Catatan 1 : Audit internal, kadang-kadang disebut audit pihak pertama, dilakukan oleh, atau atas nama,
organisasi itu sendiri.

Catatan 2 : Audit eksternal termasuk yang umumnya disebut audit pihak kedua dan ketiga. Audit pihak
kedua dilakukan oleh pihak yang berkepentingan dengan ion organisasi , seperti pelanggan, atau oleh
orang lain atas nama mereka. Audit pihak ketiga dilakukan oleh organisasi audit independen, seperti
mereka yang memberikan sertifikasi / pendaftaran kesesuaian atau lembaga pemerintah.

[SUMBER: ISO 9000: 2015, 3.13 .1, dimodifikasi - Catatan telah dimodifikasi]

3.2 audit gabungan

yaitu audit ( 3.1 ) dilakukan bersama pada satu auditee ( 3.13 ) atau dua atau lebih sistem
manajemen ( 3.18 )
Catatan 1 : Ketika dua atau lebih disiplin sistem manajemen khusus diintegrasikan ke dalam sistem
manajemen tunggal ini dikenal sebagai sistem manajemen terpadu.

[SUMBER: ISO 9000: 2015, 3.13.2, diubah]

1
3.3 audit bersama
audit ( 3.1 ) dilakukan pada satu auditee ( 3.13 ) oleh dua atau lebih organisasi audit [SUMBER:
ISO 9000: 2015, 3.13.3]

3.4 program audit

pengaturan untuk satu atau lebih audit ( 3.1 ) yang direncanakan untuk jangka waktu tertentu
dan diarahkan untuk tujuan tertentu
[SUMBER: ISO 9000: 2015, 3.13.4, modifikasi kata-kata telah ditambahkan ke definisi]

3.5 cakupan audit dan batas-batas audit ( 3.1 )

Catatan 1 : Ruang lingkup audit umumnya mencakup deskripsi lokasi fisik dan virtual, fungsi, unit
organisasi, kegiatan dan proses, serta periode waktu yang dicakup.

Catatan 2 : Lokasi virtual adalah tempat organisasi melakukan pekerjaan atau menyediakan layanan
menggunakan lingkungan on-line yang memungkinkan individu terlepas dari lokasi fisik untuk
melaksanakan proses.

[SUMBER: ISO 9000: 2015, 3.13.5, dimodifikasi - Catatan 1 untuk entri telah dimodifikasi, Catatan
2 untuk entri telah ditambahkan]

3.6 rencana audit

deskripsi kegiatan dan pengaturan untuk audit ( 3.1 )
[SUMBER: ISO 9000: 2015, 3.13.6]

3.7 kriteria audit

seperangkat persyaratan ( 3.23 ) digunakan sebagai referensi terhadap bukti
objektif mana ( 3.8 ) dibandingkan
Catatan 1 : Jika kriteria audit adalah persyaratan hukum (termasuk persyaratan undang-undang atau
peraturan), kata-kata "kepatuhan" atau "tidak sesuai " sering digunakan dalam temuan audit ( 3.10 ).

Catatan 2 : Persyaratan dapat mencakup kebijakan, prosedur, instruksi kerja, persyaratan hukum,
kewajiban kontrak, dll.

[SUMBER: ISO 9000: 2015, 3.13.7, dimodifikasi - definisi telah diubah dan Catatan untuk entri 1
dan 2 telah ditambahkan]

3.8 data
bukti objektif yang mendukung keberadaan atau kebenaran sesuatu
Catatan 1 : Bukti obyektif dapat diperoleh melalui observasi, pengukuran, tes atau dengan cara lain.

Catatan 2 : Bukti objektif untuk tujuan audit ( 3.1 ) umumnya terdiri dari catatan, pernyataan fakta, atau
informasi lain yang relevan dengan kriteria audit ( 3.7 ) dan dapat diverifikasi. [SUMBER: ISO 9000:
2015, 3.8.3]

2
3.9 bukti audit
catatan, pernyataan fakta atau informasi lain, yang relevan dengan kriteria audit ( 3.7 ) dan dapat
diverifikasi
[SUMBER: ISO 9000: 2015, 3.13.8]

3.10 temuan audit

hasil evaluasi dari bukti audit yang dikumpulkan ( 3.9 ) terhadap kriteria audit ( 3.7 )
Catatan 1 : Temuan audit menunjukkan kesesuaian ( 3,20 ) atau ketidaksesuaian ( 3,21 ).

Catatan 2 : Temuan audit dapat mengarah pada identifikasi risiko, peluang untuk perbaikan atau merekam
praktik yang baik.

Catatan 3 : Dalam Bahasa Inggris jika kriteria audi dipilih dari persyaratan perundang-undangan atau
persyaratan peraturan, temuan audit disebut kepatuhan atau ketidakpatuhan.

[SUMBER: ISO 9000: 2015, 3.13.9, dimodifikasi - Catatan 2 dan 3 telah dimodifikasi]

3.11 kesimpulan audit

hasil audit (3.1), setelah mempertimbangkan tujuan audit dan semua temuan
audit (3.10) [SUMBER: ISO 9000: 2015, 3.13.10]

3.12 klien audit

organisasi atau orang yang meminta audit ( 3.1 )
Catatan 1 : Dalam kasus audit internal, klien audit juga dapat menjadi auditee ( 3.13 ) atau individu yang
mengelola program audit. Permintaan untuk audit eksternal dapat berasal dari sumber-sumber seperti
regulator, pihak kontraktor atau klien potensial atau exi sting.

[SUMBER: ISO 9000: 2015, 3.13.11, dimodifikasi - Catatan 1 telah ditambahkan]

3.13 auditee
organisasi secara keseluruhan atau bagiannya diaudit
[SUMBER: ISO 9000: 2015, 3.13.12, diubah]

3.14 tim audit

satu atau lebih orang yang melakukan audit ( 3.1 ), didukung jika dibutuhkan oleh para ahli
teknis ( 3.16 )
Catatan 1 : Satu auditor ( 3.15 ) dari tim audit ( 3.14 ) ditunjuk sebagai pemimpin tim audit.

Catatan 2 : Tim audit dapat termasuk auditor-dalam-pelatihan.

[SUMBER: ISO 9000: 2015, 3.13. 14]

3
3.15 auditor
orang yang melakukan audit ( 3.1 )

[SUMBER: ISO 9000: 2015, 3.13.15]

3.16 ahli teknis

<audit> orang yang memberikan pengetahuan atau keahlian khusus kepada tim audit ( 3.14 )
Catatan 1 : Pengetahuan atau keahlian khusus berkaitan dengan organisasi, aktivitas, proses, produk,
layanan, disiplin yang diaudit, atau bahasa atau budaya.

Catatan 2 : Seorang ahli teknis kepada tim audit ( 3.14 ) tidak bertindak sebagai auditor ( 3.15 ).

[SUMBER: ISO 9000: 2015, 3.13.16, dimodifikasi - Catatan untuk entri 1 dan 2 telah dimodifikasi]

3.17 pengamat
individu yang mendampingi tim audit ( 3.14 ) tetapi tidak bertindak
sebagai auditor ( 3.15 ) [SUMBER: ISO 9000: 2015, 3.13.17, diubah]

3.18 sistem manajemen

mengatur elemen-elemen yang saling terkait atau berinteraksi dari suatu organisasi untuk
menetapkan kebijakan dan tujuan, dan proses ( 3.24 ) untuk mencapai tujuan tersebut
Catatan 1 : Sistem manajemen dapat menangani satu disiplin atau beberapa disiplin , misalnya manajemen
mutu, manajemen keuangan atau manajemen lingkungan.

Catatan 2 : Elemen sistem manajemen menetapkan struktur, peran dan tanggung jawab organisasi,
perencanaan, operasi, kebijakan, praktik, aturan, keyakinan, tujuan dan proses untuk mencapai tujuan
tersebut.

Catatan 3 : Ruang lingkup sistem manajemen dapat mencakup seluruh organisasi, fungsi spesifik dan
teridentifikasi dari organisasi, bagian organisasi yang spesifik dan teridentifikasi, atau satu atau beberapa
fungsi di seluruh grup organisasi.

[SUMBER: ISO 9000: 2015, 3.5.3, dimodifikasi - Catatan 4 telah dihapus]

3.19 risiko
efek ketidakpastian
Catatan 1 : Efeknya adalah penyimpangan dari yang diharapkan - positif atau negatif.

Catatan 2 : Ketidakpastian adalah keadaan, bahkan sebagian, kekurangan informasi yang terkait dengan,
pemahaman atau pengetahuan tentang, peristiwa, konsekuensi dan kemungkinan.

Catatan 3 : Risiko sering dicirikan dengan referensi ke peristiwa potensial (seperti yang didefinisikan
dalam Panduan ISO 73: 2009, 3.5.1.3) dan konsekuensi (sebagaimana didefinisikan dalam Panduan ISO 73:
2009, 3.6.1.3), atau kombinasi dari ini.

Catatan 4 : Risiko sering dinyatakan dalam bentuk kombinasi konsekuensi dari suatu peristiwa (termasuk
perubahan dalam situasi ) dan kemungkinan terkait (sebagaimana didefinisikan dalam ISO Guide 73: 2009,
3.6.1.1) dari kejadian.

[SUMBER: ISO 9000: 2015, 3.7.9, dimodifikasi - Catatan 5 dan 6 telah dihapus]

4
3.20 kesesuaian
pemenuhan persyaratan ( 3.23 )
[SUMBER: ISO 9000: 2015, 3,6,1 1, dimodifikasi - Catatan 1 untuk entri telah dihapus]

3.21 ketidaksesuaian
tidak memenuhi persyaratan ( 3.23 )
[SUMBER: ISO 9000: 2015, 3,6,9, dimodifikasi - Catatan 1 untuk entri telah dihapus]

3.22 kompetensi
kemampuan untuk menerapkan pengetahuan dan keterampilan untuk mencapai hasil yang
diinginkan
[SUMBER: ISO 9000: 2015, 3.10.4, dimodifikasi - Catatan telah dihapus]

3.23 persyaratan
kebutuhan atau harapan yang dinyatakan, umumnya tersirat atau wajib
Catatan 1 : "Umumnya tersirat" berarti bahwa kebiasaan atau praktik umum untuk organisasi dan pihak
yang berkepentingan bahwa kebutuhan atau harapan yang dipertimbangkan adalah tersirat.

Catatan 2 : Persyaratan yang ditentukan adalah salah satu yang dinyatakan, misalnya dalam informasi yang
didokumentasikan .

[SUMBER: ISO 9000: 2015, 3.6.4, dimodifikasi - Catatan 3, 4, 5, dan 6 telah dihapus]

3.24 proses
mengatur aktivitas yang saling terkait atau berinteraksi yang menggunakan input untuk
memberikan hasil yang diinginkan
[SUMBER: ISO 9000: 2015, 3.4.1, dimodifikasi - Catatan telah dihapus]

3.25 kinerja
hasil yang terukur
Catatan 1 : Kinerja dapat berhubungan baik dengan temuan kuantitatif atau kualitatif.

Catatan 2 : Kinerja dapat berhubungan dengan manajemen aktivitas, proses ( 3.24 ), produk, layanan,
sistem atau organisasi.

[SUMBER: ISO 9000: 2015, 3.7.8, dimodifikasi - Catatan 3 untuk entri telah dihapus]

3.26 sejauh mana efektivitas kegiatan yang direncanakan direalisasikan dan hasil yang
direncanakan tercapai
[SUMBER: ISO 9000: 2015, 3.7.11, dimodifikasi - Catatan 1 telah dihapus]

5
4. Prinsip-prinsip audit
Audit ditandai dengan adanya sejumlah prinsip. Prinsip-prinsip ini sebaiknya membantu
membuat audit menjadi alat yang efektif dan dapat diandalkan untuk mendukung kebijakan dan
kontrol manajemen, dengan memberikan informasi yang dapat digunakan organisasi untuk
meningkatkan kinerjanya. Ketaatan pada prinsip-prinsip ini merupakan prasyarat untuk
memberikan kesimpulan audit yang relevan dan memadai, dan untuk memungkinkan auditor,
bekerja secara independen dari satu sama lain, untuk mencapai kesimpulan serupa
dalam keadaan yang sama.
Panduan yang diberikan dalam Klausul 5 hingga 7 didasarkan pada tujuh prinsip yang diuraikan
di bawah ini.
a) Integritas: landasan profesionalisme
Auditor dan individu pengelola program audit sebaiknya:
- melakukan pekerjaan mereka secara etis, dengan kejujuran dan tanggung jawab;
- hanya melakukan kegiatan audit jika berkompeten untuk melakukannya;
- melakukan pekerjaan mereka dengan cara yang tidak memihak, yaitu tetap adil dan tidak
bias dalam semua urusan mereka;
- peka terhadap pengaruh apa pun yang mungkin diberikan pada penilaian mereka saat
melaksanakan audit.
b) Presentasi yang adil: kewajiban untuk melaporkan secara jujur dan akurat
Temuan audit, kesimpulan audit dan laporan audit sebaiknya mencerminkan dengan jujur
dan akurat kegiatan audit. Hambatan signifikan yang dihadapi selama audit dan perbedaan
pendapat yang tidak terselesaikan antara tim audit dan auditee sebaiknya
dilaporkan. Komunikasi sebaiknya jujur, akurat, obyektif, tepat waktu, jelas dan lengkap.
c) Pelayanan profesional: penerapan ketekunan dan penilaian dalam audit
Auditor sebaiknya berhati-hati karena sesuai dengan pentingnya tugas yang mereka lakukan
dan kepercayaan ditempatkan kepada mereka dengan klien audit dan pihak lain yang
berkepentingan. Salah satu faktor penting dalam melaksanakan pekerjaan mereka dengan
pelayanan profesional yang memiliki kemampuan untuk membuat penilaian yang beralasan
dalam segala situasi audit.
d) Kerahasiaan: keamanan informasi
Auditor sebaiknya menerapkan kebijaksanaan dalam penggunaan dan perlindungan
informasi yang diperoleh selama menjalankan tugasnya. Informasi audit tidak boleh
digunakan secara tidak tepat untuk keuntungan pribadi oleh auditor atau klien audit, atau
dengan cara yang merugikan kepentingan sah auditee. Konsep ini termasuk penanganan
informasi sensitif atau rahasia.
e) Independensi: dasar untuk ketidakberpihakan audit dan obyektivitas kesimpulan audit
Auditor sebaiknya independen dari kegiatan yang diaudit dimanapun prakteknya, dan
sebaiknya dalam segala kasus bertindak dengan cara yang bebas dari bias dan konflik
kepentingan. Untuk audit internal, auditor sebaiknya independen dari manajer fungsi
operasi yang diaudit. Auditor sebaiknya menjaga objektivitas seluruh proses audit untuk
memastikan bahwa temuan audit dan kesimpulan didasarkan hanya pada bukti audit.
Untuk organisasi kecil, hal itu dapat tidak mungkin bagi auditor internal untuk menjadi
sepenuhnya independen dari kegiatan yang diaudit, tetapi setiap upaya sebaiknya dilakukan
untuk menghilangkan bias dan mendorong objektivitas.

6
f) Pendekatan berbasis bukti: metode rasional untuk mencapai kesimpulan audit
yang andal dan dapat direproduksi dalam proses audit yang sistematis
Bukti audit sebaiknya dapat diverifikasi. Secara umum sebaiknya didasarkan pada sampel
dari informasi yang tersedia, karena audit dilakukan selama periode waktu terbatas dan
dengan sumber daya yang terbatas .Penggunaan sampling yang tepat sebaiknya diterapkan,
karena ini terkait erat dengan kepercayaan diri yang dapat ditempatkan dalam kesimpulan
audit.
g) Pendekatan berbasis risiko: pendekatan audit yang mempertimbangkan risiko dan
peluang
Pendekatan berbasis risiko sebaiknya secara substantif mempengaruhi perencanaan,
pelaksanaan dan pelaporan audit untuk memastikan bahwa audit difokuskan pada hal-hal
yang signifikan bagi klien audit, dan untuk mencapai tujuan program audit.

5 Pengelolaan program audit

5.1 Umum
Program audit sebaiknya ditetapkan yang dapat mencakup audit yang menangani satu atau lebih
standar sistem manajemen atau persyaratan lain, yang dilakukan baik secara terpisah atau dalam
kombinasi (audit gabungan).
Luasnya program audit sebaiknya didasarkan pada ukuran dan sifat auditee, serta pada sifat,
fungsionalitas, kompleksitas, jenis risiko dan peluang, dan tingkat kematangan sistem
manajemen menjadi diaudit.
Fungsionalitas sistem manajemen dapat menjadi lebih kompleks ketika sebagian besar fungsi
penting dialihdayakan dan dikelola di bawah kepemimpinan organisasi lain. Perhatian khusus
sebaiknya diberikan kepada di mana keputusan yang paling penting dibuat dan apa
yang merupakan manajemen puncak sistem manajemen.
Dalam kasus beberapa lokasi / situs (misalnya negara yang berbeda), atau di mana fungsi-fungsi
penting dialihdayakan dan dikelola di bawah kepemimpinan organisasi lain, perhatian khusus
sebaiknya diberikan pada desain, perencanaan dan validasi program audit.
Dalam kasus organisasi yang lebih kecil atau kurang kompleks, program audit dapat diskalakan
dengan tepat.
Untuk memahami konteks auditee, program audit sebaiknya memperhitungkan auditee:
- tujuan organisasi;
- masalah eksternal dan internal yang relevan;
- kebutuhan dan harapan pihak yang berkepentingan yang relevan;
- keamanan informasi dan persyaratan kerahasiaan.

Perencanaan program audit internal dan, beberapa program untuk mengaudit penyedia
eksternal, dapat diatur untuk berkontribusi pada tujuan lain dari organisasi.
Individu mengelola program audit sebaiknya memastikan integritas audit dipertahankan dan
bahwa tidak ada pengaruh yang tidak semestinya yang diberikan atas audit.
Prioritas audit sebaiknya diberikan untuk mengalokasikan sumber daya dan metode untuk hal-
hal dalam sistem manajemen dengan risiko inheren yang lebih tinggi dan tingkat kinerja yang
lebih rendah.

7
Individu yang kompeten sebaiknya ditugaskan untuk mengelola program audit.
Program audit sebaiknya memasukkan informasi dan mengidentifikasi sumber daya untuk
memungkinkan audit dilakukan secara efektif dan efisien dalam jangka waktu yang
ditentukan. Informasi tersebut sebaiknya mencakup: a) tujuan untuk program audit;
a) risiko dan peluang yang terkait dengan program audit (lihat 5.3 ) dan tindakan untuk
mengatasinya;
b) ruang lingkup (luas, batas, lokasi ) dari setiap audit dalam program audit;
c) jadwal (jumlah / durasi / frekuensi) dari audit;
d) jenis audit, seperti internal atau eksternal;
e) kriteria audit;
f) metode audit yang akan digunakan;
g) kriteria untuk memilih anggota tim audit;
h) informasi terdokumentasi yang relevan.

Beberapa informasi ini mungkin tidak tersedia sampai perencanaan audit yang lebih rinci selesai.
Pelaksanaan program audit sebaiknya dipantau dan diukur secara berkelanjutan (lihat 5.6 )
untuk memastikan tujuan-tujuannya telah tercapai. Program audit sebaiknya ditinjau untuk
mengidentifikasi kebutuhan akan perubahan dan peluang yang memungkinkan untuk perbaikan
(lihat 5.7 ).
Gambar 1 menggambarkan aliran proses untuk pengelolaan program audit.

8
CATATAN 1 Gambar ini menggambarkan penerapan siklus Plan-Do-Check-Act dalam dokumen ini.

CATATAN 2 Penomoran klausul / sub-klausul mengacu pada klausa / subklausa yang relevan dari
dokumen ini.

Gambar 1 - Proses mengalir untuk itu pengelolaan dari sebuah program audit

5.2 Menetapkan tujuan program udit

Klien audit sebaiknya memastikan bahwa tujuan program audit ditetapkan untuk mengarahkan
perencanaan dan pelaksanaan audit dan sebaiknya memastikan program audit dilaksanakan
secara efektif. Tujuan programaudit sebaiknya konsisten dengan arah strategis klien audit dan
mendukung kebijakan dan tujuan sistem manajemen.
Tujuan-tujuan ini dapat didasarkan pada pertimbangan hal-hal berikut:
a) kebutuhan dan harapan pihak berkepentingan yang relevan, baik eksternal maupun internal;

9
b) karakteristik dan persyaratan untuk proses, produk, layanan dan proyek, dan perubahan apa
pun padanya;
c) persyaratan sistem manajemen;
d) kebutuhan untuk evaluasi penyedia eksternal ;
e) tingkat kinerja auditee dan tingkat kematangan sistem manajemen , sebagaimana tercermin
dalam indikator kinerja yang relevan (misalnya KPI), terjadinya ketidaksesuaian atau
insiden atau keluhan dari pihak yang berkepentingan;
f) mengidentifikasi risiko dan peluang kepada auditee;
g) hasil audit sebelumnya.
Contoh tujuan program audit dapat mencakup hal-hal berikut:
- mengidentifikasi peluang untuk peningkatan sistem manajemen dan kinerjanya;
- mengevaluasi kemampuan audit untuk menentukan konteksnya;
-mengevaluasi kemampuan auditee untuk menentukan risiko dan peluang dan untuk
mengidentifikasi dan menerapkan tindakan yang efektif untuk mengatasinya;
- sesuai dengan semua persyaratan yang relevan, misalnya persyaratan undang-undang dan
peraturan, komitmen kepatuhan, persyaratan sertifikasi untuk standar sistem manajemen;
- mendapatkan dan mempertahankan kepercayaan pada kemampuan penyedia eksternal;
-menentukan kelanjutan kesesuaian, kecukupan dan keefektifan sistem
manajemen nite auditee ;
- mengevaluasi kompatibilitas dan keselarasan tujuan sistem manajemen dengan arah strategis
organisasi.

5.3 Menentukan dan mengevaluasi risiko dan peluang program audit

Ada risiko dan peluang terkait dengan konteks auditee yang dapat dikaitkan dengan program
audit dan dapat mempengaruhi pencapaian tujuannya. Individu mengelola program audit
sebaiknya mengidentifikasi dan menyajikan kepada klien audit risiko dan peluang
dipertimbangkan ketika mengembangkan program audit dan persyaratan sumber daya, sehingga
mereka dapat ditangani dengan tepat.
Ada risiko yang terkait dengan hal-hal berikut:
a) perencanaan, misalnya kegagalan untuk menetapkan objek audit yang relevan dan
menentukan sejauh mana, jumlah, durasi, lokasi dan jadwal audit;
b) sumber daya, misalnya tidak mencukupi waktu, peralatan dan / atau pelatihan untuk
mengembangkan program audit atau melakukan audit;
c) pemilihan tim audit, misalnya kompetensi keseluruhan yang tidak memadai untuk
melakukan audit secara efektif;
d) komunikasi, misalnya proses / saluran komunikasi eksternal / internal yang tidak efektif;
e) implementasi, misalnya koordinasi yang tidak efektif dari audit di dalam program audiens ,
atau tidak mempertimbangkan keamanan informasi dan kerahasiaan;
f) pengendalian informasi yang terdokumentasi, misalnya penentuan yang tidak efektif dari
informasi yang terdokumentasi yang diperlukan oleh auditor dan pihak berkepentingan

10
 yang relevan, kegagalan untuk melindungi catatan audit secara memadai untuk
menunjukkan efektivitas program audit;
g) memantau, mengkaji dan memperbaiki program audit, misalnya pemantauan hasil program
audit yang tidak efektif;
h) ketersediaan dan kerjasama auditee dan ketersediaan bukti untuk dijadikan sampel.
Peluang untuk meningkatkan program audit dapat mencakup:
- memungkinkan banyak audit dilakukan dalam satu kunjungan;
- meminimalkan waktu dan jarak perjalanan ke situs;
- Menyesuaikan tingkat kompetensi tim audit dengan tingkat kepatuhan yang diperlukan untuk
mencapai tujuan audit;
- menyelaraskan tanggal audit dengan ketersediaan staf kunci auditee.

5.4 Menetapkan program audit

5.4.1 Peran dan tanggung jawab individu mengelola program audit

Individu (s) mengelola program audit sebaiknya:
a) menetapkan sejauh mana program audit sesuai dengan tujuan yang relevan (lihat 5.2 ) dan
setiap kendala yang diketahui;
b) menentukan masalah eksternal dan internal, dan risiko dan peluang yang dapat
mempengaruhi rimme audit , dan menerapkan tindakan untuk mengatasinya,
mengintegrasikan tindakan-tindakan ini dalam semua kegiatan audit yang relevan, yang
sesuai;
c) memastikan pemilihan tim audit dan kompetensi keseluruhan untuk kegiatan audit dengan
menetapkan peran, tanggung jawab dan otoritas, dan mendukung kepemimpinan,
sebagaimana mestinya;
d) menetapkan semua proses yang relevan termasuk proses untuk:
- koordinasi dan penjadwalan semua audit dalam program audit;
- penetapan tujuan audit, ruang lingkup dan kriteria audit, menentukan metode audit dan
memilih tim audit;
- mengevaluasi auditor;
- Pembentukan proses komunikasi eksternal dan internal, yang sesuai;
- Resolusi perselisihan dan penanganan keluhan;
- Audit tindak lanjut jika berlaku;
- Melaporkan kepada klien audit dan pihak yang berkepentingan yang relevan, yang sesuai.
e) menentukan dan memastikan penyediaan semua sumber daya yang diperlukan;
f) memastikan bahwa informasi yang didokumentasikan sesuai disiapkan dan dipelihara,
termasuk rekaman program audit;
g) memantau, meninjau, dan meningkatkan program audit;

11
h) mengomunikasikan program audit kepada klien audit dan, jika sesuai, pihak yang
berkepentingan yang relevan.
Individu mengelola program t audi sebaiknya meminta persetujuannya oleh klien audit.

5.4.2 Kompetensi program audit pengelolaan individu

Individu mengelola program audit sebaiknya memiliki kompetensi yang diperlukan untuk
mengelola program dan risiko yang terkait suatu peluang d dan isu-isu eksternal dan internal
secara efektif dan efisien, termasuk pengetahuan tentang:
a) prinsip audit (lihat Ayat 4 ), metode dan proses (lihat A.1 dan A.2 );
b) standar sistem manajemen, standar relevan lainnya dan dokumen acuan / pedoman ;
c) informasi mengenai auditee dan konteksnya (misalnya masalah eksternal / internal, pihak
berkepentingan yang relevan dan kebutuhan dan harapan mereka, aktivitas bisnis, produk,
layanan dan proses auditee);
d) persyaratan perundang-undangan dan peraturan yang berlaku dan persyaratan lain yang
relevan dengan kegiatan bisnis auditee.
Jika sesuai, pengetahuan tentang manajemen risiko, proyek dan manajemen proses, dan
teknologi informasi dan komunikasi (ICT) akan dipertimbangkan.
Individu mengelola program audit sebaiknya terlibat dalam kegiatan pembangunan
berkelanjutan yang tepat untuk mempertahankan kompetensi yang diperlukan untuk mengelola
program audit.

5.4.3 Menetapkan luas program audit

Individu mengelola program audit sebaiknya menentukan sejauh mana program audit. Ini dapat
bervariasi tergantung pada informasi yang diberikan oleh auditee mengenai konteksnya
(lihat 5.3 ).
CATATAN Dalam kasus-kasus tertentu, tergantung pada struktur auditee atau kegiatannya, program audit
mungkin hanya terdiri dari audit tunggal (misalnya proyek atau organisasi kecil).

Faktor-faktor lain yang berdampak pada tingkat program audit dapat mencakup hal-hal berikut:
a) tujuan, ruang lingkup dan durasi setiap audit dan sejumlah audit yang akan dilakukan,
metode pelaporan dan, jika berlaku, tindak lanjut audit;
b) standar sistem manajemen atau kriteria lain yang berlaku;
c) jumlah, kepentingan, kompleksitas, kesamaan dan lokasi kegiatan yang diaudit;
d) faktor-faktor yang mempengaruhi efektivitas sistem manajemen;
e) kriteria audit yang berlaku, seperti pengaturan yang direncanakan untuk standar sistem
manajemen yang relevan, persyaratan undang-undang dan peraturan dan persyaratan lain
yang mana organisasi tersebut dikomit;
f) hasil audit internal dan eksternal sebelumnya dan tinjauan manajemen, jika sesuai;
g) hasil tinjauan program audit sebelumnya;
h) masalah bahasa, budaya dan sosial;

12
i) kekhawatiran pihak yang berkepentingan, seperti keluhan pelanggan,
ketidakpatuhan dengan persyaratan hukum dan peraturan dan persyaratan lain yang
menjadi komitmen organisasi, atau masalah rantai pasokan;
j) perubahan signifikan terhadap konteks auditee atau operasinya dan risiko dan peluang
terkait;
k) ketersediaan teknologi informasi dan komunikasi untuk mendukung kegiatan audit,
khususnya penggunaan metode audit jarak jauh (lihat A.16 );
l) terjadinya peristiwa internal dan eksternal, seperti ketidaksesuaian produk atau layanan,
kebocoran keamanan informasi, kesehatan dan insiden keselamatan, tindakan kriminal atau
insiden lingkungan;
m) risiko dan peluang bisnis, termasuk tindakan untuk mengatasinya.

5.4.4 Menentukan sumber daya program audit

Ketika menentukan sumber daya untuk program audit, individu yang mengelola program
audit sebaiknya mempertimbangkan:
a) sumber daya keuangan dan waktu yang diperlukan untuk mengembangkan, menerapkan,
mengelola dan meningkatkan kegiatan audit;
b) metode audit (lihat A.1 );
c) perorangan dan ketersediaan keseluruhan auditor dan ahli teknis yang memiliki kompetensi
sesuai dengan tujuan program audit tertentu;
d) sejauh mana program audit (lihat 5.4.3 ) dan risiko dan peluang program audit (lihat 5.3 );
e) waktu perjalanan dan akomodasi, akomodasi dan kebutuhan audit lainnya;
f) dampak dari zona waktu yang berbeda;
g) ketersediaan teknologi informasi dan komunikasi (misalnya sumber daya teknis yang
diperlukan untuk mengatur audit jarak jauh menggunakan teknologi yang mendukung
kolaborasi jarak jauh );
h) ketersediaan alat, teknologi, dan peralatan yang dibutuhkan;
i) ketersediaan informasi yang terdokumentasi yang diperlukan, sebagaimana ditentukan
selama pembentukan program audit (lihat A.5 );
j) persyaratan yang terkait dengan fasilitas, termasuk izin dan perlengkapan keamanan (mis
pemeriksaan latar belakang, alat pelindung diri, kemampuan untuk memakai pakaian kamar
yang bersih).

5.5 Melaksanakan program audit

5.5.1 Umum
Setelah program audit telah ditetapkan (lihat 5.4.3 ) dan sumber daya terkait telah
ditentukan (lihat 5.4.4 ) perlu untuk menerapkan perencanaan operasional dan koordinasi
semua kegiatan dalam program.
Individu mengelola program audit sebaiknya:

13
a) mengomunikasikan bagian-bagian yang relevan dari program audit, termasuk risiko dan
peluang yang terlibat, kepada pihak yang berkepentingan yang relevan dan memberi tahu
mereka secara periodik tentang kemajuannya, menggunakan saluran komunikasi eksternal
dan internal yang telah mapan;
b) menentukan tujuan , ruang lingkup dan kriteria untuk setiap audit individu;
c) pilih metode audit (lihat A.1 );
d) mengkoordinasikan dan menjadwalkan audit dan kegiatan lain yang relevan dengan
program audit;
e) memastikan tim audit memiliki kompetensi yang diperlukan (lihat 5.5.4 );
f) menyediakan kebutuhan dalam sumber daya individu dan timbal balik kepada tim audit
(lihat 5.4.4 );
g) memastikan pelaksanaan audit sesuai dengan program audit, mengelola semua risiko
operasional, peluang, dan masalah (misalnya kejadian tak terduga), saat muncul saat
penyebaran program;
h) memastikan informasi terdokumentasi yang relevan mengenai kegiatan audit dikelola dan
dipelihara dengan baik (lihat 5.5.7 );
I) menetapkan dan mengimplementasikan pengendalian operasional (lihat 5.6 ) yang
diperlukan untuk pemantauan program audit;
j) tinjau kembali program audit saya untuk mengidentifikasi peluang untuk peningkatannya
(lihat 5.7 ).

5.5.2 Menentukan tujuan, ruang lingkup dan kriteria untuk sebuah individu audit
Setiap audit individu sebaiknya didasarkan pada tujuan, ruang lingkup, dan kriteria audit yang
ditentukan. Ini sebaiknya konsisten dengan tujuan program audit secara keseluruhan.
Tujuan audit menentukan apa yang sebaiknya dicapai oleh audit individu dan mungkin termasuk
yang berikut:
a) penentuan tingkat kesesuaian sistem manajemen yang akan diaudit, atau bagian-bagiannya,
dengan kriteria audit;
b) evaluasi kemampuan sistem manajemen untuk membantu organisasi dalam memenuhi
persyaratan peraturan perundang-undangan dan persyaratan lain yang terkait dengan
organisasi;
c) evaluasi keefektifan sistem manajemen dalam memenuhi hasil yang diinginkan;
d) identifikasi peluang untuk peningkatan potensi sistem manajemen;
e) evaluasi kesesuaian dan kecukupan sistem manajemen sehubungan dengan konteks dan
arahan strategis auditee;
f) evaluasi kemampuan sistem manajemen untuk menetapkan dan mencapai tujuan dan secara
efektif mengatasi risiko dan peluang, dalam konteks yang berubah, termasuk pelaksanaan
tindakan terkait.
Ruang lingkup audit sebaiknya konsisten dengan program audit dan tujuan audit. Ini termasuk
faktor-faktor seperti lokasi, fungsi, kegiatan dan proses yang diaudit, serta periode waktu yang
dicakup oleh audit.

14
Kriteria audit digunakan sebagai referensi terhadap kesesuaian yang ditentukan. Ini mungkin
termasuk satu atau lebih dari yang berikut: kebijakan yang berlaku, proses, prosedur, kriteria
kinerja termasuk tujuan, persyaratan undang-undang dan peraturan, persyaratan sistem
manajemen, informasi mengenai konteks dan risiko dan peluang sebagaimana ditentukan oleh
auditee (termasuk eksternal yang relevan / persyaratan pihak yang berkepentingan internal),
kode perilaku sektor atau pengaturan yang direncanakan lainnya.
Dalam hal terjadi perubahan pada tujuan, ruang lingkup atau kriteria audit, program audit
sebaiknya dimodifikasi jika perlu dan dikomunikasikan kepada pihak yang berkepentingan,
untuk persetujuan jika perlu.
Ketika lebih dari satu disiplin sedang diaudit pada saat yang sama , penting bahwa tujuan, ruang
lingkup dan kriteria audit konsisten dengan program audit yang relevan untuk masing-masing
disiplin. Beberapadisiplin dapat memiliki ruang lingkup yang mencerminkan seluruh organisasi
dan yang lain dapat memiliki ruang lingkup yang mencerminkan sebagian dari keseluruhan
organisasi.

5.5.3 Memilih dan menentukan metode audit

Individu mengelola program audit sebaiknya memilih dan menentukan metode untuk secara
efektif dan efisien melakukan audit, tergantung pada tujuan audit, ruang lingkup dan kriteria
yang ditetapkan.
Audit dapat dilakukan di lokasi, dari jarak jauh atau sebagai kombinasi. Penggunaan metode-
metode ini sebaiknya seimbang, berdasarkan, antara lain, pertimbangan risiko dan peluang
terkait.
Di mana dua atau lebih organisasi audit melakukan audit gabungan dari auditee yang sama,
individu yang mengelola program audit yang berbeda sebaiknya menyetujui metode audit dan
mempertimbangkan implikasi untuk sumber daya dan perencanaan audit. Jika auditee
mengoperasikan dua atau lebih sistem manajemen dari disiplin yang berbeda, audit gabungan
dapat dimasukkan dalam program audit.

5.5.4 Memilih anggota tim audit

Individu mengelola program audit sebaiknya menunjuk anggota tim audit, termasuk pemimpin
tim dan setiap exper teknis yang diperlukan untuk audit tertentu.
Sebuah tim audit sebaiknya dipilih, dengan mempertimbangkan kompetensi yang dibutuhkan
untuk mencapai tujuan audit individu dalam ruang lingkup yang ditentukan. Jika hanya ada satu
auditor, auditor sebaiknya melakukan semua tugas yang berlaku dari pemimpin tim audit.
CATATAN Klausul 7 berisi panduan untuk menentukan kompetensi yang diperlukan untuk anggota
tim audit dan menjelaskan proses untuk mengevaluasi auditor.

Untuk memastikan kompetensi keseluruhan dari tim audit, langkah-langkah berikut sebaiknya
dilakukan:
- identifikasi kompetensi yang dibutuhkan untuk mencapai tujuan audit;
- pemilihan anggota tim audit sehingga kompetensi yang diperlukan hadir di tim audit.
Dalam menentukan ukuran dan komposisi tim audit untuk audit tertentu, pertimbangan
sebaiknya diberikan sebagai berikut:

15
a) kompetensi keseluruhan dari tim audit yang diperlukan untuk mencapai tujuan audit,
dengan mempertimbangkan ruang lingkup dan kriteria audit ;
b) kompleksitas audit;
c) apakah audit merupakan audit gabungan atau gabungan;
d) metode audit yang dipilih;
e) memastikan objektivitas dan ketidakberpihakan untuk menghindari konflik kepentingan
dari proses audit;
f) kemampuan anggota tim audit untuk bekerja dan berinteraksi secara efektif dengan
perwakilan auditee dan pihak yang berkepentingan yang relevan;
g) masalah eksternal / internal yang relevan, seperti bahasa audit, dan karakteristik sosial dan
budaya pihak yang diaudit. Masalah-masalah ini dapat diatasi baik oleh keterampilan
auditor sendiri atau melalui dukungan dari seorang ahli teknis, juga
mempertimbangkan kebutuhan untuk penerjemah;
h) jenis dan kompleksitas proses yang diaudit.
Apabila diperlukan, individu yang mengelola program audit sebaiknya berkonsultasi dengan
pemimpin tim pada komposisi tim audit.
Jika kompetensi yang diperlukan tidak tertutupi oleh auditor di tim audit, ahli teknis dengan
kompetensi tambahan sebaiknya tersedia untuk mendukung tim.
Auditor-dalam masa-pelatihan dapat dimasukkan dalam tim audit, tetapi sebaiknya
berpartisipasi di bawah arahan dan bimbingan auditor.
Perubahan tergantung pada komposisi tim audit mungkin diperlukan selama audit, misalnya jika
konflik kepentingan atau masalah kompetensi muncul. Jika situasi seperti itu muncul, itu
sebaiknya diselesaikan dengan pihak yang sesuai (misalnya pemimpin tim audit,
individu mengelola program audit, klien audit atau auditee) sebelum ada perubahan yang
dibuat.

5.5.5 Menetapkan tanggung jawab untuk audit individu kepada pemimpin tim audit
Individu mengelola program audit sebaiknya menetapkan tanggung jawab untuk melakukan
audit individu kepada pemimpin tim audit.
Penugasan sebaiknya dilakukan dalam waktu yang cukup sebelum tanggal audit yang
dijadwalkan, untuk memastikan perencanaan audit yang efektif.
Untuk memastikan perilaku yang efektif dari audit individu, informasi berikut sebaiknya
diberikan kepada pemimpin tim audit:
a) tujuan audit;
b) kriteria audit dan informasi yang didokumentasikan yang relevan;
c) ruang lingkup audit, termasuk identifikasi organisasi dan fungsi dan proses yang diaudit;
d) proses audit dan metode terkait;
e) komposisi tim audit;
f) rincian kontak auditee, lokasi, jangka waktu dan durasi kegiatan audit yang akan
dilakukan;

16
g) sumber daya yang diperlukan untuk melakukan audit;
h) informasi yang diperlukan untuk mengevaluasi dan berpakaian iklan mengidentifikasi
risiko dan peluang untuk pencapaian tujuan audit;
i) informasi yang mendukung pemimpin tim audit dalam interaksi mereka dengan auditee
untuk efektivitas program audit.
Informasi tugas sebaiknya juga mencakup hal-hal berikut, yang sesuai:
- bahasa kerja dan pelaporan audit di mana ini berbeda dari bahasa auditor atau auditee, atau
keduanya;
- mengaudit output pelaporan sesuai kebutuhan dan kepada siapa itu akan didistribusikan;
- hal-hal yang berkaitan dengan kerahasiaan dan keamanan informasi, seperti yang
dipersyaratkan oleh program audit;
- pengaturan kesehatan, keselamatan dan lingkungan untuk auditor;
- persyaratan untuk perjalanan atau akses ke situs remote;
- setiap permintaan keamanan dan otorisasi ;
- tindakan apa pun yang akan ditinjau, misalnya tindak lanjut dari audit sebelumnya;
- koordinasi dengan kegiatan audit lainnya, misalnya ketika tim yang berbeda mengaudit proses
serupa atau terkait di lokasi yang berbeda atau dalam kasus audit bersama.
Di sini audit bersama dilakukan, penting untuk mencapai kesepakatan di antara organisasi yang
melakukan audit, sebelum audit dimulai, pada tanggung jawab khusus masing-masing pihak,
terutama yang berkaitan dengan kewenangan pemimpin tim yang ditunjuk untuk audit.

5.5.6 Mengelola hasil program audit

Individu mengelola program audit sebaiknya memastikan bahwa kegiatan berikut dilakukan:
a) evaluasi pencapaian tujuan untuk setiap audit dalam program audit;
b) meninjau dan menyetujui laporan audit berkenaan dengan pemenuhan ruang lingkup dan
tujuan audit;
c) tinjauan efektifitas tindakan yang diambil untuk menangani temuan audit ;
d) distribusi laporan audit kepada pihak yang berkepentingan yang relevan;
e) penentuan kebutuhan untuk setiap tindak lanjut audit.

Individu yang mengelola program audit sebaiknya mempertimbangkan, jika sesuai:

- mengkomunikasikan hasil audit dan praktik terbaik ke area organisasinya, dan

- implikasi untuk proses lain.

5.5.7 Mengelola dan memelihara catatan program audit

Individu mengelola program audit sebaiknya memastikan bahwa catatan audit dihasilkan,
dikelola dan dipelihara untuk mendemonstrasikan pelaksanaan program audit. Proses
sebaiknya ditetapkan untuk memastikan bahwa keamanan informasi dan kerahasiaan apa pun
yang terkait dengan catatan audit ditangani.

17
Rekaman dapat mencakup hal-hal berikut:
a) Catatan terkait dengan program audit, seperti:
- jadwal audit;
- tujuan dan cakupan program audit;
- mereka yang menangani risiko dan peluang program audit, dan isu-isu eksternal dan
internal yang relevan;
- review dari program audit yang efektif .
b) Catatan yang terkait dengan setiap audit, seperti:
- rencana audit dan laporan audit;
- bukti audit objektif dan temuan;
- laporan ketidaksesuaian;

- koreksi dan laporan tindakan korektif; -

mengaudit laporan tindak lanjut.
c) Catatan yang terkait dengan tim audit menggerakkan topik-topik cincin seperti:
- Kompetensi dan evaluasi kinerja anggota tim audit;

- kriteria untuk pemilihan tim audit dan anggota tim dan pembentukan tim audit; -
pemeliharaan dan peningkatan kompetensi.
Bentuk dan tingkat detail dari rekaman sebaiknya menunjukkan bahwa tujuan dari program
audit telah tercapai.

5.6 Memonitor program audit

Individu mengelola program audit sebaiknya memastikan evaluasi:
a) apakah jadwal dipenuhi dan tujuan program audit tercapai;
b) kinerja anggota tim audit termasuk pemimpin tim audit dan para ahli teknis;
c) kemampuan tim audit untuk melaksanakan rencana audit;
d) umpan balik dari klien audit, auditee, auditor, ahli teknis dan pihak terkait lainnya;
e) kecukupan dan kecukupan dari dokumentasi informasi dalam seluruh proses audit.
Beberapa faktor dapat menunjukkan kebutuhan untuk memodifikasi program audit. Ini
termasuk perubahan untuk:
- temuan audit;
- Menunjukkan tingkat efektivitas dan kematangan sistem manajemen auditee;
- efektivitas program audit;
- ruang lingkup audit atau lingkup program audit;
- sistem manajemen auditee;
- standar, dan persyaratan lain yang menjadi komitmen organisasi;
- penyedia eksternal;

18
- mengidentifikasi konflik kepentingan;
- persyaratan klien audit.

5.7 Mengkaji dan meningkatkan program audit

Individu mengelola program audit dan klien audit sho uld meninjau program audit untuk menilai
apakah tujuannya telah tercapai. Pelajaran yang diambil dari tinjauan program audit sebaiknya
digunakan sebagai masukan untuk perbaikan program.
Individu mengelola program audit sebaiknya memastikan hal berikut:
- review dari keseluruhan pelaksanaan program audit;
- identifikasi area dan peluang untuk perbaikan;
- penerapan perubahan pada program audit jika diperlukan;
- review pengembangan profesional berkelanjutan dari uditors, sesuai dengan 7.6 ;
- melaporkan hasil program audit dan meninjau dengan klien audit dan pihak yang
berkepentingan yang relevan, yang sesuai.
Tinjauan program audit sebaiknya mempertimbangkan hal-hal berikut:
a) hasil dan tren dari pemantauan program audit;
b) kesesuaian dengan proses program audit dan informasi terdokumentasi yang relevan;
c) kebutuhan dan harapan yang berkembang dari pihak yang berkepentingan yang relevan;
d) rekaman program audit;
e) metode audit alternatif atau baru;
f) metode alternatif atau baru untuk mengevaluasi auditor;
g) efektivitas tindakan untuk mengatasi risiko dan peluang, dan masalah internal dan
eksternal yang terkait dengan program audit;
h) kerahasiaan dan masalah keamanan informasi yang berkaitan dengan program aud it.

6 Melakukan audit

6.1 Umum
Klausul ini berisi panduan untuk mempersiapkan dan melakukan audit spesifik sebagai bagian
dari program audit. Gambar 2 memberikan gambaran umum tentang kegiatan yang dilakukan
dalam audit khas. Sejauh mana ketentuan klausul ini berlaku tergantung pada tujuan dan ruang
lingkup audit tertentu.

19
6.2 Memulai audit
6.2.1 Umum
Tanggung jawab untuk melakukan audit sebaiknya tetap dengan pemimpin tim audit yang
ditugaskan (lihat 5.5.5 ) sampai udit selesai (lihat 6.6 ).
Untuk memulai audit, langkah-langkah pada Gambar 1 sebaiknya dipertimbangkan; namun
urutannya dapat berbeda tergantung pada auditee, proses dan keadaan spesifik audit.

6.2.2 Membangun kontak dengan auditee

Ketua tim audit sebaiknya memastikan bahwa kontak dibuat dengan auditee untuk:
a) mengkonfirmasi saluran komunikasi dengan perwakilan auditee;
b) mengkonfirmasi otoritas untuk melakukan audit;
c) memberikan informasi yang relevan mengenai tujuan audit, ruang lingkup, kriteria , metode
dan komposisi tim audit, termasuk setiap ahli teknis;
d) meminta akses ke informasi yang relevan untuk tujuan perencanaan termasuk informasi
tentang risiko dan peluang yang diidentifikasi oleh organisasi dan bagaimana mereka
ditangani;
e) menentukan persyaratan perundang-undangan dan peraturan yang berlaku dan
persyaratan lain yang relevan dengan kegiatan, proses, produk dan layanan auditee;
f) mengkonfirmasi perjanjian dengan auditee mengenai sejauh mana pengungkapan dan
perlakuan informasi rahasia;
g) membuat pengaturan untuk audit termasuk jadwal;
h) menentukan pengaturan spesifik lokasi untuk akses, kesehatan dan keselamatan, keamanan,
kerahasiaan atau lainnya;
i) menyetujui kehadiran pengamat dan perlunya panduan atau preter untuk tim audit;
j) menentukan setiap bidang minat, perhatian atau risiko kepada auditee terkait dengan audit
khusus;
k) menyelesaikan masalah mengenai komposisi tim audit dengan auditee atau klien audit.

6.2.3 Menentukan kelayakan audit

Kelayakan audit sebaiknya ditentukan untuk memberikan keyakinan yang wajar bahwa tujuan
audit dapat dicapai.
Penentuan kelayakan sebaiknya mempertimbangkan faktor-faktor seperti ketersediaan berikut:
a) informasi yang cukup dan tepat untuk perencanaan dan pelaksanaan audit;
b) kerjasama yang memadai dari auditee;
c) waktu dan sumber daya yang memadai untuk melakukan audit.
CATATAN Sumber daya termasuk akses ke teknologi informasi dan komunikasi yang memadai
dan tepat.

Jika audit tidak layak, alternatif sebaiknya diajukan ke klien audit, sesuai dengan auditee.

20
6.3 Mempersiapkan kegiatan audit

6.3.1 Melakukan penelaahan atas informasi yang terdokumentasi

Sistem manajemen yang relevan mendokumentasikan informasi auditee sebaiknya ditinjau
untuk:
- kumpulkan informasi untuk memahami operasi pihak yang diaudit dan untuk mempersiapkan
kegiatan audit dan dokumen pekerjaan audit kelayakan (lihat 6.3.4 ), misalnya pada proses,
fungsi;
- menetapkan ikhtisar tentang sejauh mana informasi yang terdokumentasi untuk menentukan
kesesuaian yang mungkin dengan kriteria audit dan mendeteksi area yang mungkin menjadi
perhatian, seperti defisiensi, omisi atau konflik.
Informasi yang terdokumentasi sebaiknya mencakup, tetapi tidak terbatas pada: dokumen dan
catatan sistem manajemen, serta laporan audit sebelumnya. Tinjauan sebaiknya
mempertimbangkan konteks organisasi auditee, termasuk sifatnya , sifat dan kompleksitasnya,
serta risiko dan peluang terkaitnya. Ini juga sebaiknya mempertimbangkan ruang lingkup audit,
kriteria dan tujuan.
CATATAN Panduan tentang cara memverifikasi informasi disediakan di A.5 .

6.3.2 Perencanaan audit

6.3.2.1 Pendekatan berbasis risiko untuk perencanaan

Pemimpin tim audit sebaiknya mengadopsi pendekatan berbasis risiko untuk merencanakan
audit berdasarkan informasi dalam program audit dan informasi terdokumentasi yang diberikan
oleh auditee.
Perencanaan audit sebaiknya mempertimbangkan risiko dari kegiatan audit pada proses auditee
dan memberikan dasar untuk perjanjian antara klien audit, tim audit dan auditee mengenai
pelaksanaan audit. Perencanaan sebaiknya memfasilitasi penjadwalan dan koordinasi yang
efisien dari kegiatan audit untuk mencapai tujuan secara efektif.
Jumlah detail yang disediakan dalam rencana audit sebaiknya mencerminkan ruang lingkup dan
kompleksitas audit, serta risiko tidak mencapai tujuan audit. Dalam merencanakan audit,
pemimpin tim audit sebaiknya mempertimbangkan hal-hal berikut:
a) komposisi tim audit dan kompetensinya secara keseluruhan;
b) teknik sampling yang tepat (lihat A.6 );
c) peluang untuk meningkatkan efektivitas dan efisiensi kegiatan audit;
d) risiko untuk mencapai tujuan audit yang diciptakan oleh perencanaan audit yang tidak
efektif;
e) risiko kepada auditee yang dibuat dengan melakukan audit.
Risiko kepada auditee dapat dihasilkan dari kehadiran anggota tim audit yang berpengaruh
buruk pada arahan pencatatan auditee untuk kesehatan dan keselamatan, lingkungan dan
kualitas, dan produk, layanan, personel atau infrastrukturnya (misalnya kontaminasi dalam
fasilitas kamar yang bersih).

21
Untuk audit gabungan, perhatian khusus sebaiknya diberikan kepada interaksi
antara proses operasional al dan tujuan dan prioritas yang bersaing dari sistem manajemen yang
berbeda.

6.3.2.2 Detail perencanaan audit

Skala dan isi perencanaan audit dapat berbeda, misalnya, antara audit awal dan audit berikutnya,
serta antara audit internal dan eksternal. Perencanaan audit sebaiknya cukup fleksibel untuk
memungkinkan perubahan yang dapat menjadi penting sebagai kemajuan kegiatan audit.
Perencanaan audit sebaiknya membahas atau referensi berikut:
a) tujuan audit;
b) ruang lingkup audit, termasuk identifikasi organisasi dan fungsinya, serta proses yang
diaudit;
c) kriteria audit dan informasi yang didokumentasikan referensi;
d) lokasi (fisik dan virtual), tanggal, perkiraan waktu dan durasi kegiatan audit yang
akan dilakukan, termasuk pertemuan dengan manajemen auditee;
e) kebutuhan tim audit untuk membiasakan diri dengan fasilitas dan proses auditee (misalnya
dengan melakukan tur lokasi fisik, atau meninjau teknologi informasi dan komunikasi );
f) metode audit yang akan digunakan, termasuk sejauh mana audit sampling diperlukan untuk
mendapatkan bukti audit yang cukup;
g) peran dan tanggung jawab anggota tim audit, serta pemandu dan pengamat atau
penerjemah;
h) alokasi sumber daya yang disetujui berdasarkan pertimbangan risiko dan peluang terkait
dengan kegiatan yang diaudit.
Perencanaan audit sebaiknya mempertimbangkan, sebagaimana mestinya:
- identifikasi perwakilan auditee untuk audit;
- bahasa kerja dan pelaporan audit di mana ini berbeda dari bahasa auditor atau auditee atau
keduanya;
- topik laporan audit;
- pengaturan logistik dan komunikasi, termasuk pengaturan khusus untuk lokasi yang diaudit;
- tindakan khusus apa pun yang sebaiknya diambil untuk mengatasi risiko untuk mencapai
tujuan dan peluang audit yang timbul;
- hal-hal yang berkaitan dengan kerahasiaan dan keamanan informasi;
- tindakan lanjutan apa pun dari audit sebelumnya atau sumber lain, misalnya pembelajaran,
ulasan proyek;
- setiap kegiatan tindak lanjut untuk audit yang direncanakan;
- koordinasi dengan kegiatan audit lainnya, dalam kasus audit bersama.
Rencana audit sebaiknya disampaikan kepada auditee. Setiap masalah dengan rencana audit
sebaiknya diselesaikan antara pemimpin tim audit, auditee dan, jika perlu, individu yang
mengelola program audit.

22
6.3.3 Menugaskan pekerjaan untuk mengaudit tim
Ketua tim audit, dalam konsultasi dengan tim audit, sebaiknya menetapkan tanggung jawab
masing-masing anggota tim untuk proses khusus, kegiatan, fungsi atau lokasi uditing dan, jika
sesuai, kewenangan untuk pengambilan keputusan. Penugasan tersebut sebaiknya
mempertimbangkan ketidakberpihakan dan objektivitas dan kompetensi auditor dan
penggunaan sumber daya yang efektif, serta peran dan tanggung jawab auditor, auditor-in-
training dan ahli teknis yang berbeda.
Rapat tim audit sebaiknya diadakan, sebagaimana mestinya, oleh ketua tim audit untuk
mengalokasikan penugasan kerja dan memutuskan kemungkinan perubahan. Perubahan pada
penugasan kerja dapat dilakukan saat audit berlangsung untuk memastikan pencapaian tujuan
audit.

6.3.4 Menyiapkan informasi yang terdokumentasi untuk audit

Anggota tim audit sebaiknya mengumpulkan dan meninjau informasi yang relevan
dengan penugasan audit mereka dan menyiapkan informasi yang terdokumentasi untuk audit,
menggunakan media yang sesuai. Informasi yang terdokumentasi untuk audit dapat mencakup
tetapi tidak terbatas pada:
a) daftar periksa fisik atau digital;
b) rincian sampling audit;
c) informasi audio visual.
Kita dari media ini sesebaiknyanya tidak membatasi sejauh mana kegiatan audit, yang dapat
berubah sebagai akibat dari informasi yang dikumpulkan selama audit.
CATATAN Panduan untuk menyiapkan dokumen kerja audit diberikan dalam A.13 .

Informasi yang terdokumentasi yang disiapkan untuk, dan dihasilkan dari, audit sebaiknya
dipertahankan setidaknya sampai audit selesai, atau sebagaimana ditentukan dalam program
audit. Penyimpanan informasi yang terdokumentasi setelah penyelesaian audit dijelaskan
dalam 6.6 . Informasi yang terdokumentasi yang dibuat selama proses audit yang melibatkan
informasi rahasia atau hak milik sebaiknya selalu dijaga setiap saat oleh anggota tim audit.

6.4 Melakukan kegiatan audit

6.4.1 Umum
Kegiatan audit biasanya dilakukan dalam urutan defeded seperti yang ditunjukkan pada Gambar
1 . Urutan ini dapat bervariasi sesuai dengan keadaan audit tertentu.

6.4.2 Menetapkan peran dan tanggung jawab pemandu dan pengamat

Pemandu dan pengamat dapat mendampingi tim audit dengan persetujuan dari pemimpin tim
audit, klien audit dan / atau auditee, jika diperlukan. Mereka sesebaiknyanya tidak
mempengaruhi atau mengganggu pelaksanaan audit. Jika ini tidak dapat dipastikan, pemimpin
tim audit sebaiknya memiliki hak untuk menolak pengamat hadir selama kegiatan tertentu .
Bagi pengamat, setiap pengaturan untuk akses, kesehatan dan keselamatan, lingkungan,
keamanan dan kerahasiaan sebaiknya dikelola antara klien audit dan auditee.

23
Panduan, yang ditunjuk oleh auditee, sebaiknya membantu tim audit dan bertindak
atas permintaan pemimpin tim audit atau auditor yang telah ditugaskan kepada
mereka. Tanggung jawab mereka sebaiknya mencakup hal - hal berikut:
a) membantu auditor dalam mengidentifikasi individu untuk berpartisipasi dalam wawancara
dan mengkonfirmasi pengaturan waktu dan lokasi;
b) mengatur akses ke lokasi spesifik auditee;
c) memastikan bahwa peraturan mengenai pengaturan khusus lokasi untuk akses, kesehatan
dan keselamatan, lingkungan, keamanan, kerahasiaan, dan masalah lainnya diketahui dan
dihormati oleh anggota tim audit dan pengamat dan setiap risiko ditangani;
d) menyaksikan audit atas nama auditee, bila sesuai;
e) memberikan klarifikasi atau bantuan dalam mengumpulkan informasi, bila diperlukan.

6.4.3 Melakukan rapat pembukaan

Tujuan dari rapat pembukaan adalah untuk:
a) mengkonfirmasi persetujuan semua peserta (misalnya auditee, tim audit) untuk rencana
audit;
b) memperkenalkan tim audit dan peran mereka;
c) memastikan bahwa semua kegiatan audit yang direncanakan dapat dilakukan.
Pertemuan pembukaan sebaiknya diadakan dengan manajemen auditee dan, jika diperlukan,
mereka yang bertanggung jawab atas fungsi atau proses yang diaudit. Selama pertemuan,
kesempatan untuk mengajukan pertanyaan sebaiknya disediakan.
Tingkat perincian sebaiknya konsisten dengan kekhasan auditee dengan proses audit. Dalam
banyak contoh, misalnya audit internal dalam organisasi kecil, rapat pembukaan mungkin hanya
terdiri dari mengkomunikasikan bahwa audit sedang dilakukan dan menjelaskan sifat audit.
Untuk audit lainnya , pertemuan mungkin formal dan catatan kehadiran sebaiknya
dipertahankan. Pertemuan sebaiknya dipimpin oleh ketua tim audit.
Pengenalan hal-hal berikut sebaiknya dipertimbangkan, jika perlu:
- peserta lain, termasuk pengamat dan gui des, interpreter, dan garis besar peran mereka;
- Metode audit untuk mengelola risiko terhadap organisasi yang mungkin timbul dari kehadiran
anggota tim audit.
Konfirmasi hal-hal berikut sebaiknya dipertimbangkan, jika perlu:
- tujuan audit , ruang lingkup dan kriteria;
- rencana audit dan pengaturan lain yang relevan dengan auditee, seperti tanggal dan waktu
untuk rapat penutupan, setiap rapat sementara antara tim audit dan manajemen auditee, dan
setiap perubahan yang diperlukan;
- saluran komunikasi formal antara tim audit dan auditee;
- bahasa yang akan digunakan selama audit;
- auditee diberi informasi tentang kemajuan audit selama audit;
- ketersediaan sumber daya dan fasilitas yang dibutuhkan oleh tim audit;

24
- hal-hal yang berkaitan dengan kerahasiaan dan keamanan informasi;

- akses yang relevan, kesehatan dan keselamatan, keamanan, darurat dan pengaturan lain untuk
tim audit;
- kegiatan di situs yang dapat berdampak pada pelaksanaan audit.
Penyajian informasi tentang hal-hal berikut sebaiknya dipertimbangkan, sebagaimana mestinya:
- metode pelaporan temuan audit termasuk kriteria untuk penilaian, jika ada;
- kondisi di mana audit dapat dihentikan;
- bagaimana menangani temuan yang mungkin selama audit;
- sistem apa pun untuk umpan balik dari pihak yang diaudit atas temuan atau kesimpulan audit,
termasuk keluhan atau banding.

6.4.4 Berkomunikasi selama audit

Selama audit, mungkin perlu untuk membuat pengaturan formal untuk komunikasi
bersama dalam tim audit, serta dengan pihak yang diaudit, klien audit dan berpotensi dengan
pihak-pihak yang berkepentingan eksternal (misalnya regulator), terutama di mana persyaratan
undang-undang dan peraturan mewajibkan pelaporan wajib dari ketidaksesuaian.
Tim au dit sebaiknya berunding secara berkala untuk bertukar informasi, menilai kemajuan audit
dan menetapkan kembali pekerjaan antara anggota tim audit, sesuai kebutuhan.
Selama audit, pemimpin tim audit sebaiknya secara berkala mengkomunikasikan kemajuan,
setiap temuan signifikan dan perhatian kepada auditee dan klien audit, sebagaimana mestinya.
Bukti yang dikumpulkan selama audit yang menunjukkan risiko langsung dan signifikan
sebaiknya dilaporkan tanpa penundaan kepada auditee dan, sebagaimana sesuai, kepada klien
audit. Setiap kekhawatiran tentang masalah di luar lingkup audit sebaiknya dicatat dan
dilaporkan kepada pemimpin tim audit, untuk kemungkinan komunikasi kepada klien audit dan
auditee.
Jika bukti audit yang tersedia menunjukkan bahwa tujuan audit tidak dapat dicapai, tim
audit sebaiknya melaporkan alasannya kepada klien audit dan auditee untuk menentukan
tindakan yang tepat. Tindakan tersebut dapat termasuk perubahan pada perencanaan audit,
tujuan audit atau ruang lingkup audit, atau penghentian audit.
Setiap kebutuhan untuk perubahan rencana audit yang dapat menjadi jelas sebagai kemajuan
kegiatan audit sebaiknya ditinjau dan diterima, sebagaimana mestinya, oleh individu mengelola
program audit dan klien audit, dan disajikan kepada auditee.

6.4.5 Ketersediaan informasi audit dan sebuah ccess

Metode audit yang dipilih untuk audit bergantung pada tujuan, ruang lingkup dan kriteria audit
yang ditentukan, serta durasi dan lokasi. Lokasi adalah tempat informasi yang diperlukan untuk
kegiatan audit khusus tersedia bagi tim audit. Ini mungkin termasuk lokasi fisik dan virtual.
Di mana, kapan dan bagaimana mengakses informasi audit sangat penting untuk audit. Ini tidak
bergantung pada tempat informasi dibuat, digunakan, dan / atau disimpan. Berdasarkan isu-isu
ini, metode audit yang perlu ditentukan (se e Tabel A.1 ). Audit dapat menggunakan campuran
metode. Juga, kondisi audit dapat berarti bahwa metode perlu berubah selama audit.

25
6.4.6 Meninjau informasi yang terdokumentasi saat melakukan audit
Informasi terdokumentasi yang diaudit yang relevan sebaiknya ditinjau ulang untuk:

- menentukan kesesuaian sistem, sejauh yang didokumentasikan, dengan kriteria

audit; - mengumpulkan informasi untuk mendukung kegiatan audit.
CATATAN Panduan tentang cara memverifikasi informasi disediakan di A.5 .

Peninjauan dapat dikombinasikan dengan kegiatan audit lainnya dan dapat terus berlanjut
sepanjang audit, dengan ketentuan ini tidak merugikan keefektifan pelaksanaan audit.
Jika informasi terdokumentasi yang memadai tidak dapat diberikan dalam jangka waktu
yang diberikan dalam rencana audit, pemimpin tim audit sebaiknya menginformasikan baik
individu mengelola program audit dan auditee. Tergantung pada tujuan dan ruang lingkup audit,
keputusan sebaiknya dibuat mengenai apakah audit sebaiknya dilanjutkan atau
ditangguhkan hingga masalah-masalah yang didokumentasikan diselesaikan.

6.4.7 Mengumpulkan dan memverifikasi informasi

Selama audit, informasi yang relevan dengan tujuan, ruang lingkup, dan kriteria audit, termasuk
informasi yang berkaitan dengan antarmuka antara fungsi, aktivitas dan proses sebaiknya
dikumpulkan dengan cara pengambilan sampel yang tepat dan sebaiknya diverifikasi, sejauh
dapat dipraktekkan.
CATATAN 1 Untuk memverifikasi informasi, lihat A.5 .

CATATAN 2 Panduan pengambilan sampel diberikan dalam A.6 .

Hanya informasi yang dapat dikenakan beberapa verifikasi sebaiknya diterima sebagai bukti
audit. Dimana tingkat verifikasi rendah auditor sebaiknya menggunakan penilaian profesional
mereka untuk menentukan tingkat kepercayaan yang dapat ditempatkan di atasnya sebagai
bukti. Bukti audit yang mengarah ke temuan audit sebaiknya dicatat. Jika, selama pengumpulan
bukti objektif, tim audit menjadi sadar akan setiap situasi baru atau berubah, atau risiko atau
peluang, ini sebaiknya ditangani oleh tim yang sesuai.
Gambar 2 memberikan gambaran umum pada proses typical, dari mengumpulkan informasi
hingga mencapai kesimpulan audit .

26
Gambar 2 - Tinjauan umum tentang proses pengumpulan dan verifikasi informasi yang
khas

Metode pengumpulan informasi termasuk, tetapi tidak terbatas pada hal-hal berikut:
- wawancara;
- pengamatan;
- Ulasan informasi yang terdokumentasi.
CATATAN 3 Panduan untuk memilih sumber informasi dan observasi diberikan dalam A.14 .

CATATAN 4 Panduan untuk mengunjungi lokasi auditee diberikan dalam A.15 .

CATATAN 5 Panduan untuk melakukan wawancara diberikan dalam A.17 .

6.4.8 Menghasilkan temuan audit

Bukti audit sebaiknya dievaluasi terhadap kriteria audit untuk menentukan temuan
audit. Temuan audit dapat menunjukkan kesesuaian atau ketidaksesuaian dengan kriteria
audit. Ketika ditentukan oleh rencana audit, dalam temuan audit dividual sebaiknya
memasukkan kesesuaian dan praktik yang baik bersama dengan bukti pendukung mereka,
peluang untuk perbaikan, dan rekomendasi kepada auditee.
Ketidaksesuaian dan bukti audit pendukungnya sebaiknya dicatat.

27
Noncon formities dapat dinilai tergantung pada konteks organisasi dan risikonya. Penilaian ini
dapat bersifat kuantitatif (misalnya 1 hingga 5) dan kualitatif (misalnya minor, mayor). Mereka
sebaiknya ditinjau dengan auditee untuk mendapatkan pengakuan bahwa aud itu bukti akurat
dan bahwa ketidaksesuaian dipahami. Setiap upaya sebaiknya dilakukan untuk menyelesaikan
setiap pendapat yang berbeda tentang bukti audit atau temuan. Masalah yang belum
terselesaikan sebaiknya dicatat dalam laporan audit.
Tim audit sebaiknya siap ketika diperlukan untuk meninjau temuan audit pada tahap yang tepat
selama audit.
CATATAN 1 Panduan tambahan tentang identifikasi dan evaluasi temuan audit diberikan
dalam A.18 .

CATATAN 2 Kesesuaian atau ketidaksesuaian dengan kriteria audit yang terkait dengan statut ory atau
persyaratan peraturan atau persyaratan lainnya, kadang-kadang disebut sebagai kepatuhan atau
ketidakpatuhan.

6.4.9 Menentukan kesimpulan audit

6.4.9.1 Persiapan untuk rapat penutupan

Tim audit sebaiknya berunding sebelum rapat penutupan untuk:
a) meninjau temuan audit dan informasi lain yang sesuai yang dikumpulkan selama audit,
terhadap tujuan audit;
b) menyetujui kesimpulan audit, dengan mempertimbangkan intuisinya yang tak terpisahkan
dalam proses audit;
c) menyiapkan rekomendasi, jika ditentukan oleh rencana audit;
d) diskusikan tindak lanjut audit, sebagaimana berlaku.

6.4.9.2 Isi kesimpulan audit

Kesimpulan audit sebaiknya mengatasi masalah seperti berikut:
a) tingkat kesesuaian dengan kriteria audit dan kekokohan sistem manajemen, termasuk
efektivitas sistem manajemen dalam memenuhi hasil yang diinginkan, identifikasi risiko dan
efektivitas tindakan yang diambil oleh auditee untuk mengatasi risiko;
b) pelaksanaan, pemeliharaan dan perbaikan sistem manajemen yang efektif;
c) pencapaian tujuan audit, cakupan ruang lingkup audit dan pemenuhan kriteria audit;
d) temuan serupa yang dibuat di berbagai area yang diaudit atau dari audit bersama atau
sebelumnya untuk tujuan mengidentifikasi tren.
Jika ditentukan oleh rencana audit, kesimpulan audit dapat mengarah pada rekomendasi untuk
perbaikan, atau kegiatan audit di masa mendatang.

28
6.4.10 Melakukan rapat penutupan
Pertemuan penutup sebaiknya diadakan untuk menyajikan temuan dan kesimpulan yang ada.
Rapat penutupan sebaiknya dipimpin oleh ketua tim audit dan dihadiri oleh manajemen auditee
dan termasuk, sebagaimana berlaku:
- Mereka yang bertanggung jawab atas fungsi atau proses yang telah diaudit;
- klien audit;
- anggota tim audit lainnya;
- pihak terkait yang relevan lainnya sebagaimana ditentukan oleh klien audit dan / atau auditee.
Jika berlaku, pemimpin tim audit sebaiknya menyarankan auditee dari situasi yang dihadapi
selama audit yang dapat mengurangi kepercayaan diri yang dapat ditempatkan dalam
kesimpulan audit. Jika didefinisikan dalam sistem manajemen atau dengan kesepakatan dengan
klien audit, para peserta sebaiknya menyetujui kerangka waktu untuk rencana aksi untuk
menangani temuan audit.
Tingkat perincian sebaiknya mempertimbangkan keefektifan sistem manajemen dalam
mencapai tujuan auditee, termasuk pertimbangan konteks dan risiko serta peluangnya.
Keakraban auditee dengan proses audit juga sebaiknya dipertimbangkan selama pertemuan
penutupan, untuk memastikan tingkat rincian yang benar diberikan kepada peserta.
Untuk beberapa situasi audit, pertemuan dapat bersifat formal dan menit, termasuk catatan
kehadiran, sebaiknya disimpan. Dalam contoh lain, misalnya audit internasional, rapat
penutupan dapat menjadi kurang formal dan hanya terdiri dari mengkomunikasikan temuan
audit dan kesimpulan audit.
Jika perlu, hal-hal berikut sebaiknya dijelaskan kepada auditee dalam rapat penutupan:
a) memberi nasihat bahwa bukti audit dikumpulkan didasarkan pada sampel dari informasi yang
tersedia dan belum tentu sepenuhnya mewakili keefektifan proses auditee secara
keseluruhan; b) metode pelaporan;
c) bagaimana temuan audit sebaiknya ditangani berdasarkan proses yang disepakati;
d) konsekuensi yang mungkin terjadi karena tidak memadai menangani temuan audit;
e) penyajian temuan audit dan kesimpulan sedemikian rupa sehingga mereka dipahami dan
diakui oleh manajemen auditee;
f) setiap kegiatan pasca-audit terkait (mis. pelaksanaan dan peninjauan tindakan korektif,
menangani keluhan audit, proses banding).
Pendapat yang berbeda tentang temuan audit atau kesimpulan antara tim audit dan auditee
sebaiknya didiskusikan dan, jika memungkinkan, diselesaikan. Jika tidak diselesaikan , ini
sebaiknya dicatat.
Jika ditentukan oleh tujuan audit, peluang untuk rekomendasi perbaikan dapat
disajikan. Sebaiknya ditekankan bahwa rekomendasi tidak mengikat.

29
6.5 Mempersiapkan dan mendistribusikan laporan audit

6.5.1 Menyiapkan laporan audit

Ketua tim audit sebaiknya melaporkan kesimpulan audit sesuai dengan program audit. Laporan
audit sebaiknya memberikan catatan audit yang lengkap, akurat, singkat dan jelas, dan
sebaiknya menyertakan atau merujuk pada hal-hal berikut:
a) tujuan audit ;
b) ruang lingkup audit, khususnya identifikasi organisasi (auditee) dan fungsi atau proses yang
diaudit;
c) identifikasi klien audit;
d) identifikasi tim audit dan peserta auditee dalam audit;
e) tanggal dan lokasi di mana kegiatan audit dilakukan;
f) kriteria audit;
g) temuan audit dan bukti terkait;
h) kesimpulan audit;
i) pernyataan tentang sejauh mana kriteria audit telah dipenuhi;
j) pendapat yang berbeda yang belum terselesaikan antara tim audit dan auditee;
k) audit oleh alam adalah latihan sampling; karena itu ada risiko bahwa bukti audit yang
diperiksa tidak representatif.
Laporan audit juga dapat menyertakan atau merujuk pada hal-hal berikut, sebagaimana yang
sesuai:
- rencana audit termasuk jadwal waktu;
- ringkasan proses audit, termasuk hambatan yang dihadapi yang dapat menurunkan keandalan
kesimpulan audit;
- konfirmasi bahwa tujuan audit telah dicapai dalam lingkup audit sesuai dengan rencana audit;
- setiap area dalam lingkup audit yang tidak tercakup termasuk masalah ketersediaan bukti,
sumber daya atau kerahasiaan, dengan justifikasi terkait;
- ringkasan yang mencakup kesimpulan audit dan temuan audit utama yang mendukung mereka;
- praktik-praktik baik diidentifikasi;
- tindak lanjut rencana aksi yang disepakati, jika ada;
- Pernyataan sifat rahasia dari isi;
- implikasi untuk program audit atau audit berikutnya.

6.5.2 Mendistribusikan laporan audisinya

Laporan audit sebaiknya diterbitkan dalam jangka waktu yang disepakati. Jika ditunda,
alasannya sebaiknya dikomunikasikan kepada auditee dan individu yang mengelola program
audit.

30
Laporan audit sebaiknya diberi tanggal, ditinjau dan diterima, sebagaimana mestinya, sesuai
dengan program audit.
Laporan audit kemudian sebaiknya didistribusikan kepada pihak berkepentingan yang relevan
yang ditentukan dalam program audit atau rencana audit.
Ketika mendistribusikan laporan audit, tindakan yang tepat untuk memastikan kerahasiaan
sebaiknya dipertimbangkan.

6.6 Menyelesaikan audit

Audit ini selesai ketika semua kegiatan audit yang direncanakan telah dilakukan, atau seperti
yang disepakati dengan klien audit (misalnya . Mungkin ada situasi tak terduga yang mencegah
audit diselesaikan sesuai dengan rencana audit).
Informasi yang terdokumentasi yang berkaitan dengan audit sebaiknya disimpan atau dibuang
oleh perjanjian antara pihak yang berpartisipasi dan sesuai dengan program audit dan
persyaratan yang berlaku.
Kecuali disyaratkan oleh hukum, tim audit dan individu yang mengelola program audit tidak
boleh mengungkapkan informasi apa pun yang diperoleh selama audit, atau laporan audit,
kepada pihak lain tanpa persetujuan eksplisit dari klien audit dan, jika diperlukan, persetujuan
auditee. Jika pengungkapan isi dokumen audit diperlukan, klien audit dan auditee sebaiknya
diberitahu sesegera mungkin.
Pelajaran yang diambil dari audit c mengidentifikasi risiko dan peluang untuk program audit dan
auditee.

6.7 Melakukan tindak lanjut audit

Hasil audit dapat, tergantung pada tujuan audit, menunjukkan perlunya koreksi, atau untuk
tindakan korektif, atau peluang untuk perbaikan. Tindakan semacam itu biasanya diputuskan
dan dilakukan oleh auditee dalam jangka waktu yang disepakati. Jika perlu, auditee sebaiknya
menjaga individu mengelola program audit dan / atau tim audit informasi tentang status
tindakan ini.
Penyelesaian dan efektivitas tindakan ini sebaiknya diverifikasi. Verifikasi ini dapat menjadi
bagian dari audit selanjutnya. Hasil sebaiknya dilaporkan kepada individu yang mengelola
program audit dan dilaporkan kepada klien audit untuk tinjauan manajemen.

7 Kompetensi dan evaluasi auditor

7.1 Umum
Keyakinan dalam proses audit dan kemampuan untuk mencapai tujuannya tergantung pada
kompetensi orang-orang yang terlibat dalam melakukan audit, termasuk auditor dan pemimpin
tim audit. Co mpetence sebaiknya dievaluasi secara berkala melalui proses yang
mempertimbangkan perilaku pribadi dan kemampuan untuk menerapkan pengetahuan dan
keterampilan yang diperoleh melalui pendidikan, pengalaman kerja, pelatihan auditor dan
pengalaman audit. Proses ini sebaiknya mempertimbangkan kebutuhan program audit dan
tujuannya. Beberapa pengetahuan dan keterampilan yang dijelaskan dalam 7.2.3 adalah umum

31
bagi auditor dari disiplin sistem manajemen mana pun; yang lain khusus untuk disiplin sistem
manajemen individu. Itu bukan neces sary untuk setiap auditor dalam tim audit untuk memiliki
kompetensi yang sama. Namun, kompetensi keseluruhan tim audit sebaiknya cukup untuk
mencapai tujuan audit.
Evaluasi kompetensi auditor sebaiknya direncanakan, diimplementasikan dan
didokumentasikan untuk memberikan hasil yang obyektif, konsisten, adil dan dapat
diandalkan. Proses evaluasi sebaiknya mencakup empat langkah utama, sebagai berikut:
a) menentukan kompetensi yang dibutuhkan untuk memenuhi kebutuhan program audit;
b) menetapkan kriteria evaluasi;
c) memilih metode evaluasi yang tepat;
d) melakukan evaluasi.
Hasil dari proses evaluasi sebaiknya memberikan dasar untuk hal-hal berikut:
- pemilihan anggota tim audit (seperti yang dijelaskan dalam 5.5.4 );

- menentukan kebutuhan untuk peningkatan kompetensi (misalnya pelatihan tambahan);

- evaluasi kinerja auditor yang sedang berlangsung.

Auditor sebaiknya mengembangkan, mempertahankan dan meningkatkan kompetensi mereka

melalui pengembangan profesional yang berkelanjutan dan partisipasi reguler dalam au dits
(lihat 7.6 ).
Suatu proses untuk mengevaluasi auditor dan pemimpin tim audit dijelaskan
dalam 7.3 , 7.4 dan 7.5 .
Auditor dan pemimpin tim audit sebaiknya dievaluasi terhadap kriteria yang ditetapkan
dalam 7.2.2 dan 7.2.3 serta kriteria yang ditetapkan dalam 7.1 .
Kompetensi yang dibutuhkan individu mengelola program audit dijelaskan dalam 5.4.2 .

7.2 Menentukan kompetensi auditor

7.2.1 Umum
Dalam memutuskan kompetensi yang diperlukan untuk audit, pengetahuan dan keterampilan
auditor yang terkait dengan tindak lanjut sebaiknya dipertimbangkan:
a) ukuran, sifat, kompleksitas, produk, layanan dan proses auditee;
b) metode untuk audit;
c) disiplin sistem manajemen yang diaudit;
d) kompleksitas dan proses sistem manajemen yang diaudit;
e) jenis dan tingkat risiko dan peluang yang ditangani oleh sistem manajemen;
f) tujuan dan tingkat program audit;
g) ketidakpastian dalam mencapai tujuan audit;
h) persyaratan lain, seperti yang dikenakan oleh klien audit atau pihak terkait yang relevan
lainnya, jika diperlukan.

32
Informasi ini sebaiknya dicocokkan dengan yang tercantum dalam 7.2.3 .

7.2.2 Perilaku pribadi

Auditor sebaiknya memiliki atribut yang diperlukan untuk memungkinkan mereka untuk
bertindak sesuai dengan prinsip-prinsip audit seperti yang dijelaskan dalam Klausul 4 . Auditor
sebaiknya menunjukkan perilaku profesional selama pelaksanaan kegiatan audit. Perilaku
profesional yang diinginkan termasuk:
a) etis, yaitu adil, jujur, tulus, jujur dan bijaksana;
b) berpikiran terbuka, yaitu bersedia mempertimbangkan ide atau sudut pandang alternatif;
c) diplomatik, yaitu bijaksana dalam berurusan dengan individu;
d) jeli, yaitu secara aktif mengamati lingkungan dan aktivitas fisik;
e) perseptif, yaitu . sadar dan mampu memahami situasi;
f) serbaguna, yaitu mampu beradaptasi dengan situasi yang berbeda;
g) ulet, yaitu gigih dan fokus pada pencapaian tujuan;
h) menentukan, yaitu mampu mencapai kesimpulan tepat waktu berdasarkan penalaran logis
dan ysis anal ;
i) mandiri, yaitu mampu bertindak dan berfungsi secara mandiri saat berinteraksi secara
efektif dengan orang lain;
j) mampu bertindak dengan ketabahan, yaitu mampu bertindak secara bertanggung jawab
dan etis, meskipun tindakan-tindakan ini mungkin tidak selalu populer dan kadang-kadang
menghasilkan ketidaksetujuan atau konfrontasi;
k) terbuka untuk perbaikan, yaitu mau belajar dari situasi;
l) peka budaya, yaitu jeli dan menghormati budaya auditee;
m) kolaboratif, yaitu secara efektif berinteraksi dengan orang lain, termasuk tim audit dan
karyawan auditee.

7.2.3 Pengetahuan dan keterampilan

7.2.3.1 Umum
Auditor sebaiknya memiliki:
a) pengetahuan dan keterampilan yang diperlukan untuk mencapai hasil yang diharapkan
dari audit yang diharapkan mereka lakukan;
b) kompetensi umum dan tingkat disiplin serta pengetahuan dan keterampilan khusus sektor.
Pemimpin tim audit sebaiknya memiliki pengetahuan dan keterampilan tambahan yang
diperlukan untuk memberikan kepemimpinan kepada tim audit.

33
7.2.3.2 Pengetahuan dan keterampilan umum dari auditor sistem manajemen
Auditor sebaiknya memiliki pengetahuan dan keterampilan di bidang yang diuraikan di bawah
ini.
a) Prinsip, proses dan metode audit: pengetahuan dan keterampilan di bidang ini memungkinkan
auditor untuk memastikan audit dilakukan secara konsisten dan sistematis.
Seorang auditor sebaiknya dapat:
- memahami jenis risiko dan peluang yang terkait dengan audit dan prinsip pendekatan
berbasis risiko untuk audit;
- merencanakan dan mengatur pekerjaan secara efektif;
- melakukan audit dalam jadwal waktu yang disepakati ;
- memprioritaskan dan fokus pada hal-hal penting;
- berkomunikasi secara efektif, lisan dan tertulis (baik secara pribadi, atau melalui
penggunaan penerjemah);
- mengumpulkan informasi melalui wawancara yang efektif, mendengarkan, mengamati dan
meninjau informasi yang terdokumentasi , termasuk catatan dan data;
- memahami kesesuaian dan konsekuensi menggunakan teknik sampling untuk audit;
- memahami dan mempertimbangkan pendapat ahli teknis;
- mengaudit suatu proses dari awal hingga selesai, termasuk keterkaitan dengan proses lain
dan fungsi yang berbeda, jika sesuai;
- memverifikasi relevansi dan keakuratan informasi yang dikumpulkan;
- mengkonfirmasi kecukupan dan kesesuaian bukti audit untuk mendukung temuan dan
kesimpulan audit;
- menilai faktor-faktor yang dapat mempengaruhi keandalan temuan dan kesimpulan audit;

- kegiatan audit dokumen dan temuan audit, dan menyiapkan laporan;

- menjaga kerahasiaan dan keamanan informasi .

b) Standar sistem manajemen dan referensi lainnya: pengetahuan dan keterampilan di bidang
ini memungkinkan auditor untuk memahami ruang lingkup audit dan menerapkan kriteria
audit, dan sebaiknya mencakup hal-hal berikut:
- standar sistem manajemen atau dokumen normatif lain atau dokumen / dokumen
pendukung yang digunakan untuk menetapkan kriteria atau metode audit;
- penerapan standar sistem manajemen oleh auditee dan organisasi lain;

-hubungan dan interaksi antara sistem manajemen proses;

- memahami pentingnya dan prioritas berbagai standar atau referensi;
- penerapan standar atau referensi untuk situasi audit yang berbeda.

c) Organisasi dan konteksnya: pengetahuan dan keterampilan di bidang ini memungkinkan

auditor untuk memahami praktik, tujuan, dan praktik manajemen auditee dan sebaiknya
mencakup hal-hal berikut:

34
 - kebutuhan dan harapan pihak berkepentingan yang relevan yang berdampak pada sistem
manajemen;
- jenis organisasi, tata kelola, ukuran, struktur, fungsi dan hubungan;
- kegunaan umum dan konsep manajemen, proses dan terminologi terkait, termasuk
perencanaan, penganggaran dan manajemen individu; - aspek budaya dan sosial auditee.
d) Persyaratan hukum dan peraturan yang berlaku dan persyaratan lainnya: pengetahuan dan
keterampilan dalam bidang ini memungkinkan auditor untuk mengetahui, dan bekerja di
dalam, persyaratan organisasi. Pengetahuan dan keterampilan khusus untuk yurisdiksi atau
kegiatan, proses, produk, dan layanan auditee sebaiknya mencakup hal-hal berikut:
- persyaratan perundang - undangan dan peraturan dan lembaga yang mengatur mereka;
- terminologi hukum dasar;
- kontrak dan kewajiban.
CATATAN: Perhatikan Kesadaran akan persyaratan hukum dan peraturan tidak menyiratkan
keahlian hukum dan audit sistem manajemen tidak boleh diperlakukan sebagai audit kepatuhan
hukum.

7.2.3.3 Disiplin dan spesifik sektor kompetensi dari auditor

Tim audit sebaiknya memiliki disiplin kolektif dan kompetensi khusus sektor yang sesuai untuk
mengaudit jenis-jenis sistem manajemen dan sektor tertentu.
Disiplin dan kompetensi khusus sektor auditor termasuk yang berikut:
a) persyaratan sistem manajemen dan prin ciples, dan aplikasinya;
b) dasar-dasar disiplin dan sektor terkait dengan standar sistem manajemen yang diterapkan
oleh auditee;
c) penerapan disiplin dan metode khusus sektor, teknik, proses dan praktik untuk
memungkinkan tim udit untuk menilai kesesuaian dalam lingkup audit yang ditetapkan dan
menghasilkan temuan dan kesimpulan audit yang sesuai;
d) prinsip, metode dan teknik yang relevan dengan disiplin dan sektor, sehingga auditor dapat
menentukan dan mengevaluasi risiko dan peluang yang terkait dengan tujuan audit.

7.2.3.4 Kompetensi umum pemimpin tim audit

Untuk memfasilitasi pelaksanaan audit yang efisien dan efektif, seorang pemimpin tim audit
sebaiknya memiliki kompetensi untuk:
a) merencanakan audit dan menetapkan tugas audit sesuai dengan kompetensi spesifik
anggota tim audit individu;
b) mendiskusikan masalah strategis dengan manajemen puncak auditee untuk menentukan
apakah mereka telah mempertimbangkan masalah ini ketika mengevaluasi risiko dan
peluang mereka;

c) mengembangkan dan memelihara hubungan kerja kolaboratif di antara anggota tim audit;
d) mengelola proses audit, termasuk:
- memanfaatkan sumber daya secara efektif selama audit;
- mengelola ketidakpastian pencapaian tujuan audit;

35
 - melindungi kesehatan dan keselamatan anggota tim audit selama audit, termasuk
memastikan kepatuhan auditor dengan kesehatan dan keselamatan yang relevan, dan
pengaturan keamanan;
- mengarahkan anggota tim audit;
- memberikan arahan dan bimbingan kepada auditor-dalam-pelatihan;
- Mencegah dan menyelesaikan konflik dan masalah yang dapat terjadi selama audit,
termasuk yang ada dalam tim audit, jika diperlukan.
e) mewakili tim audit dalam komunikasi dengan individu mengelola program audit, klien audit
dan auditee;
f) memimpin tim audit untuk mencapai kesimpulan audit;
g) menyiapkan dan menyelesaikan laporan audit.

7.2.3.5 Pengetahuan dan keterampilan untuk mengaudit berbagai disiplin ilmu

Ketika mengaudit beberapa sistem manajemen disiplin , anggota tim audit sebaiknya memiliki
pemahaman tentang interaksi dan sinergi antara sistem manajemen yang berbeda.
Pemimpin tim audit sebaiknya memahami persyaratan dari setiap standar sistem manajemen
yang diaudit dan mengenali batas kompetensi mereka di masing-masing disiplin.
CATATAN Audit berbagai disiplin yang dilakukan secara bersamaan dapat dilakukan sebagai audit
gabungan atau sebagai audit sistem manajemen terpadu yang mencakup berbagai disiplin ilmu.

7.2.4 Mencapai kompetensi auditor

Kompetensi auditor dapat diperoleh dengan menggunakan kombinasi berikut:
a) berhasil menyelesaikan program pelatihan yang mencakup pengetahuan dan keterampilan
auditor umum;
b) pengalaman dalam jabatan teknis, manajerial atau profesional yang relevan
yang melibatkan pelaksanaan penilaian, pengambilan keputusan, penyelesaian masalah dan
komunikasi dengan manajer, profesional, rekan, pelanggan dan pihak terkait yang relevan
lainnya;
c) pendidikan / pelatihan dan pengalaman dalam disiplin dan sektor sistem manajemen
khusus yang berkontribusi pada pengembangan kompetensi secara keseluruhan;
d) pengalaman audit yang diperoleh di bawah pengawasan seorang auditor yang kompeten
dalam disiplin yang sama.
CATATAN Keberhasilan menyelesaikan kursus pelatihan akan tergantung pada jenis kursus. Untuk kursus
dengan komponen pemeriksaan dapat berarti berhasil lulus ujian. Untuk kursus lain, itu bisa berarti
berpartisipasi dalam dan menyelesaikan kursus.

7.2.5 Mencapai kompetensi ketua tim audit

Seorang pemimpin tim audit sebaiknya memperoleh pengalaman audit tambahan untuk
mengembangkan kompetensi yang dijelaskan dalam 7.2.3.4 . Pengalaman tambahan ini

36
sesebaiknyanya diperoleh dengan bekerja di bawah arahan dan bimbingan pemimpin tim lain
yang berbeda .

7.3 Menetapkan kriteria evaluasi auditor

Kriteria sebaiknya kualitatif (seperti telah menunjukkan perilaku yang diinginkan, pengetahuan
atau kinerja keterampilan, dalam pelatihan atau di tempat kerja) dan kuantitatif
(seperti pengalaman kerja dan pendidikan, jumlah audit yang dilakukan, jam audit latihan).

7.4 Memilih metode evaluasi auditor yang tepat

Evaluasi sebaiknya dilakukan menggunakan dua atau lebih dari metode yang diberikan
pada Tabel 2 . Dalam menggunakan Tabel 2 , foll owing sebaiknya diperhatikan:
a) metode yang diuraikan menggambarkan berbagai opsi dan mungkin tidak berlaku di semua
situasi;
b) berbagai metode yang diuraikan dapat berbeda dalam hal keandalannya;
c) kombinasi metode sebaiknya digunakan untuk memastikan hasil yang objektif, akurat, adil
dan dapat diandalkan.

Tabel 2 - Metode evaluasi auditor

Metode evaluasi Tujuan Contoh
Review rekaman Untuk memverifikasi latar belakang Analisis catatan pendidikan, pelatihan,
auditor pekerjaan, kredensial profesional dan
pengalaman audit
Umpan balik Untuk memberikan informasi tentang Survei, kuesioner, referensi
bagaimana kinerja auditor dirasakan referensi pribadi , testimonial, keluhan,
evaluasi kinerja, ulasan sejawat
Wawancara Untuk mengevaluasi perilaku profesional Wawancara pribadi
yang diinginkan dan keterampilan
komunikasi, untuk memverifikasi
informasi dan menguji pengetahuan dan
untuk memperoleh informasi tambahan
Pengamatan Untuk mengevaluasi perilaku profesional Peran bermain, menyaksikan audit, kinerja
yang diinginkan dan kemampuan untuk di tempat kerja
menerapkan pengetahuan dan
keterampilan
Pengujian Untuk mengevaluasi perilaku dan Ujian lisan dan tertulis, tes psikometri
pengetahuan serta keterampilan yang
diinginkan dan aplikasinya
Tinjauan pasca-audit Untuk memberikan informasi tentang Review laporan audit, wawancara dengan
kinerja auditor selama kegiatan audit, pemimpin tim audit, tim audit dan, jika
mengidentifikasi kekuatan dan peluang perlu, umpan balik dari auditee
untuk
perbaikan

37
7,5 Melakukan evaluasi auditor
Informasi yang dikumpulkan tentang auditor yang dievaluasi sebaiknya dibandingkan dengan
kriteria yang ditetapkan dalam 7.2.3 . Ketika auditor yang dievaluasi yang diharapkan untuk
berpartisipasi dalam program audit tidak memenuhi kriteria, maka pelatihan tambahan ,
pengalaman kerja atau audit sebaiknya dilakukan dan evaluasi ulang selanjutnya sebaiknya
dilakukan.

7.6 Memelihara dan meningkatkan kompetensi auditor

Auditor dan pemimpin tim audit sebaiknya terus meningkatkan kompetensi mereka. Auditor
sebaiknya menjaga kompetensi audit melalui partisipasi reguler dalam audit sistem manajemen
dan pengembangan profesional berkelanjutan. Ini dapat dicapai melalui sarana seperti
pengalaman kerja tambahan, pelatihan, studi pribadi, pelatihan, kehadiran di pertemuan,
seminar dan konferensi atau kegiatan terkait lainnya.
Individu mengelola program audit sebaiknya menetapkan mekanisme yang sesuai untuk
evaluasi berkelanjutan dari kinerja auditor dan pemimpin tim audit.
Kegiatan pengembangan profesional berkelanjutan sebaiknya mempertimbangkan hal-hal
berikut:
a) perubahan dalam kebutuhan individu dan organisasi yang bertanggung jawab atas
pelaksanaan audit;
b) perkembangan dalam praktik audit termasuk penggunaan teknologi;

c) standar yang relevan termasuk panduan / dokumen pendukung dan persyaratan lainnya;

d) perubahan di sektor atau disiplin.

38