4.2 ISO 19011 - 2018 Indo - v0
4.2 ISO 19011 - 2018 Indo - v0
2. Acuan normatif
Tidak ada referensi normatif dalam dokumen ini.
Catatan 2 : Audit eksternal termasuk yang umumnya disebut audit pihak kedua dan ketiga. Audit pihak
kedua dilakukan oleh pihak yang berkepentingan dengan ion organisasi , seperti pelanggan, atau oleh
orang lain atas nama mereka. Audit pihak ketiga dilakukan oleh organisasi audit independen, seperti
mereka yang memberikan sertifikasi / pendaftaran kesesuaian atau lembaga pemerintah.
[SUMBER: ISO 9000: 2015, 3.13 .1, dimodifikasi - Catatan telah dimodifikasi]
1
3.3 audit bersama
audit ( 3.1 ) dilakukan pada satu auditee ( 3.13 ) oleh dua atau lebih organisasi audit [SUMBER:
ISO 9000: 2015, 3.13.3]
Catatan 2 : Lokasi virtual adalah tempat organisasi melakukan pekerjaan atau menyediakan layanan
menggunakan lingkungan on-line yang memungkinkan individu terlepas dari lokasi fisik untuk
melaksanakan proses.
[SUMBER: ISO 9000: 2015, 3.13.5, dimodifikasi - Catatan 1 untuk entri telah dimodifikasi, Catatan
2 untuk entri telah ditambahkan]
Catatan 2 : Persyaratan dapat mencakup kebijakan, prosedur, instruksi kerja, persyaratan hukum,
kewajiban kontrak, dll.
[SUMBER: ISO 9000: 2015, 3.13.7, dimodifikasi - definisi telah diubah dan Catatan untuk entri 1
dan 2 telah ditambahkan]
3.8 data
bukti objektif yang mendukung keberadaan atau kebenaran sesuatu
Catatan 1 : Bukti obyektif dapat diperoleh melalui observasi, pengukuran, tes atau dengan cara lain.
Catatan 2 : Bukti objektif untuk tujuan audit ( 3.1 ) umumnya terdiri dari catatan, pernyataan fakta, atau
informasi lain yang relevan dengan kriteria audit ( 3.7 ) dan dapat diverifikasi. [SUMBER: ISO 9000:
2015, 3.8.3]
2
3.9 bukti audit
catatan, pernyataan fakta atau informasi lain, yang relevan dengan kriteria audit ( 3.7 ) dan dapat
diverifikasi
[SUMBER: ISO 9000: 2015, 3.13.8]
Catatan 2 : Temuan audit dapat mengarah pada identifikasi risiko, peluang untuk perbaikan atau merekam
praktik yang baik.
Catatan 3 : Dalam Bahasa Inggris jika kriteria audi dipilih dari persyaratan perundang-undangan atau
persyaratan peraturan, temuan audit disebut kepatuhan atau ketidakpatuhan.
[SUMBER: ISO 9000: 2015, 3.13.9, dimodifikasi - Catatan 2 dan 3 telah dimodifikasi]
3.13 auditee
organisasi secara keseluruhan atau bagiannya diaudit
[SUMBER: ISO 9000: 2015, 3.13.12, diubah]
3
3.15 auditor
orang yang melakukan audit ( 3.1 )
Catatan 2 : Seorang ahli teknis kepada tim audit ( 3.14 ) tidak bertindak sebagai auditor ( 3.15 ).
[SUMBER: ISO 9000: 2015, 3.13.16, dimodifikasi - Catatan untuk entri 1 dan 2 telah dimodifikasi]
3.17 pengamat
individu yang mendampingi tim audit ( 3.14 ) tetapi tidak bertindak
sebagai auditor ( 3.15 ) [SUMBER: ISO 9000: 2015, 3.13.17, diubah]
Catatan 2 : Elemen sistem manajemen menetapkan struktur, peran dan tanggung jawab organisasi,
perencanaan, operasi, kebijakan, praktik, aturan, keyakinan, tujuan dan proses untuk mencapai tujuan
tersebut.
Catatan 3 : Ruang lingkup sistem manajemen dapat mencakup seluruh organisasi, fungsi spesifik dan
teridentifikasi dari organisasi, bagian organisasi yang spesifik dan teridentifikasi, atau satu atau beberapa
fungsi di seluruh grup organisasi.
3.19 risiko
efek ketidakpastian
Catatan 1 : Efeknya adalah penyimpangan dari yang diharapkan - positif atau negatif.
Catatan 2 : Ketidakpastian adalah keadaan, bahkan sebagian, kekurangan informasi yang terkait dengan,
pemahaman atau pengetahuan tentang, peristiwa, konsekuensi dan kemungkinan.
Catatan 3 : Risiko sering dicirikan dengan referensi ke peristiwa potensial (seperti yang didefinisikan
dalam Panduan ISO 73: 2009, 3.5.1.3) dan konsekuensi (sebagaimana didefinisikan dalam Panduan ISO 73:
2009, 3.6.1.3), atau kombinasi dari ini.
Catatan 4 : Risiko sering dinyatakan dalam bentuk kombinasi konsekuensi dari suatu peristiwa (termasuk
perubahan dalam situasi ) dan kemungkinan terkait (sebagaimana didefinisikan dalam ISO Guide 73: 2009,
3.6.1.1) dari kejadian.
[SUMBER: ISO 9000: 2015, 3.7.9, dimodifikasi - Catatan 5 dan 6 telah dihapus]
4
3.20 kesesuaian
pemenuhan persyaratan ( 3.23 )
[SUMBER: ISO 9000: 2015, 3,6,1 1, dimodifikasi - Catatan 1 untuk entri telah dihapus]
3.21 ketidaksesuaian
tidak memenuhi persyaratan ( 3.23 )
[SUMBER: ISO 9000: 2015, 3,6,9, dimodifikasi - Catatan 1 untuk entri telah dihapus]
3.22 kompetensi
kemampuan untuk menerapkan pengetahuan dan keterampilan untuk mencapai hasil yang
diinginkan
[SUMBER: ISO 9000: 2015, 3.10.4, dimodifikasi - Catatan telah dihapus]
3.23 persyaratan
kebutuhan atau harapan yang dinyatakan, umumnya tersirat atau wajib
Catatan 1 : "Umumnya tersirat" berarti bahwa kebiasaan atau praktik umum untuk organisasi dan pihak
yang berkepentingan bahwa kebutuhan atau harapan yang dipertimbangkan adalah tersirat.
Catatan 2 : Persyaratan yang ditentukan adalah salah satu yang dinyatakan, misalnya dalam informasi yang
didokumentasikan .
[SUMBER: ISO 9000: 2015, 3.6.4, dimodifikasi - Catatan 3, 4, 5, dan 6 telah dihapus]
3.24 proses
mengatur aktivitas yang saling terkait atau berinteraksi yang menggunakan input untuk
memberikan hasil yang diinginkan
[SUMBER: ISO 9000: 2015, 3.4.1, dimodifikasi - Catatan telah dihapus]
3.25 kinerja
hasil yang terukur
Catatan 1 : Kinerja dapat berhubungan baik dengan temuan kuantitatif atau kualitatif.
Catatan 2 : Kinerja dapat berhubungan dengan manajemen aktivitas, proses ( 3.24 ), produk, layanan,
sistem atau organisasi.
[SUMBER: ISO 9000: 2015, 3.7.8, dimodifikasi - Catatan 3 untuk entri telah dihapus]
3.26 sejauh mana efektivitas kegiatan yang direncanakan direalisasikan dan hasil yang
direncanakan tercapai
[SUMBER: ISO 9000: 2015, 3.7.11, dimodifikasi - Catatan 1 telah dihapus]
5
4. Prinsip-prinsip audit
Audit ditandai dengan adanya sejumlah prinsip. Prinsip-prinsip ini sebaiknya membantu
membuat audit menjadi alat yang efektif dan dapat diandalkan untuk mendukung kebijakan dan
kontrol manajemen, dengan memberikan informasi yang dapat digunakan organisasi untuk
meningkatkan kinerjanya. Ketaatan pada prinsip-prinsip ini merupakan prasyarat untuk
memberikan kesimpulan audit yang relevan dan memadai, dan untuk memungkinkan auditor,
bekerja secara independen dari satu sama lain, untuk mencapai kesimpulan serupa
dalam keadaan yang sama.
Panduan yang diberikan dalam Klausul 5 hingga 7 didasarkan pada tujuh prinsip yang diuraikan
di bawah ini.
a) Integritas: landasan profesionalisme
Auditor dan individu pengelola program audit sebaiknya:
- melakukan pekerjaan mereka secara etis, dengan kejujuran dan tanggung jawab;
- hanya melakukan kegiatan audit jika berkompeten untuk melakukannya;
- melakukan pekerjaan mereka dengan cara yang tidak memihak, yaitu tetap adil dan tidak
bias dalam semua urusan mereka;
- peka terhadap pengaruh apa pun yang mungkin diberikan pada penilaian mereka saat
melaksanakan audit.
b) Presentasi yang adil: kewajiban untuk melaporkan secara jujur dan akurat
Temuan audit, kesimpulan audit dan laporan audit sebaiknya mencerminkan dengan jujur
dan akurat kegiatan audit. Hambatan signifikan yang dihadapi selama audit dan perbedaan
pendapat yang tidak terselesaikan antara tim audit dan auditee sebaiknya
dilaporkan. Komunikasi sebaiknya jujur, akurat, obyektif, tepat waktu, jelas dan lengkap.
c) Pelayanan profesional: penerapan ketekunan dan penilaian dalam audit
Auditor sebaiknya berhati-hati karena sesuai dengan pentingnya tugas yang mereka lakukan
dan kepercayaan ditempatkan kepada mereka dengan klien audit dan pihak lain yang
berkepentingan. Salah satu faktor penting dalam melaksanakan pekerjaan mereka dengan
pelayanan profesional yang memiliki kemampuan untuk membuat penilaian yang beralasan
dalam segala situasi audit.
d) Kerahasiaan: keamanan informasi
Auditor sebaiknya menerapkan kebijaksanaan dalam penggunaan dan perlindungan
informasi yang diperoleh selama menjalankan tugasnya. Informasi audit tidak boleh
digunakan secara tidak tepat untuk keuntungan pribadi oleh auditor atau klien audit, atau
dengan cara yang merugikan kepentingan sah auditee. Konsep ini termasuk penanganan
informasi sensitif atau rahasia.
e) Independensi: dasar untuk ketidakberpihakan audit dan obyektivitas kesimpulan audit
Auditor sebaiknya independen dari kegiatan yang diaudit dimanapun prakteknya, dan
sebaiknya dalam segala kasus bertindak dengan cara yang bebas dari bias dan konflik
kepentingan. Untuk audit internal, auditor sebaiknya independen dari manajer fungsi
operasi yang diaudit. Auditor sebaiknya menjaga objektivitas seluruh proses audit untuk
memastikan bahwa temuan audit dan kesimpulan didasarkan hanya pada bukti audit.
Untuk organisasi kecil, hal itu dapat tidak mungkin bagi auditor internal untuk menjadi
sepenuhnya independen dari kegiatan yang diaudit, tetapi setiap upaya sebaiknya dilakukan
untuk menghilangkan bias dan mendorong objektivitas.
6
f) Pendekatan berbasis bukti: metode rasional untuk mencapai kesimpulan audit
yang andal dan dapat direproduksi dalam proses audit yang sistematis
Bukti audit sebaiknya dapat diverifikasi. Secara umum sebaiknya didasarkan pada sampel
dari informasi yang tersedia, karena audit dilakukan selama periode waktu terbatas dan
dengan sumber daya yang terbatas .Penggunaan sampling yang tepat sebaiknya diterapkan,
karena ini terkait erat dengan kepercayaan diri yang dapat ditempatkan dalam kesimpulan
audit.
g) Pendekatan berbasis risiko: pendekatan audit yang mempertimbangkan risiko dan
peluang
Pendekatan berbasis risiko sebaiknya secara substantif mempengaruhi perencanaan,
pelaksanaan dan pelaporan audit untuk memastikan bahwa audit difokuskan pada hal-hal
yang signifikan bagi klien audit, dan untuk mencapai tujuan program audit.
5.1 Umum
Program audit sebaiknya ditetapkan yang dapat mencakup audit yang menangani satu atau lebih
standar sistem manajemen atau persyaratan lain, yang dilakukan baik secara terpisah atau dalam
kombinasi (audit gabungan).
Luasnya program audit sebaiknya didasarkan pada ukuran dan sifat auditee, serta pada sifat,
fungsionalitas, kompleksitas, jenis risiko dan peluang, dan tingkat kematangan sistem
manajemen menjadi diaudit.
Fungsionalitas sistem manajemen dapat menjadi lebih kompleks ketika sebagian besar fungsi
penting dialihdayakan dan dikelola di bawah kepemimpinan organisasi lain. Perhatian khusus
sebaiknya diberikan kepada di mana keputusan yang paling penting dibuat dan apa
yang merupakan manajemen puncak sistem manajemen.
Dalam kasus beberapa lokasi / situs (misalnya negara yang berbeda), atau di mana fungsi-fungsi
penting dialihdayakan dan dikelola di bawah kepemimpinan organisasi lain, perhatian khusus
sebaiknya diberikan pada desain, perencanaan dan validasi program audit.
Dalam kasus organisasi yang lebih kecil atau kurang kompleks, program audit dapat diskalakan
dengan tepat.
Untuk memahami konteks auditee, program audit sebaiknya memperhitungkan auditee:
- tujuan organisasi;
- masalah eksternal dan internal yang relevan;
- kebutuhan dan harapan pihak yang berkepentingan yang relevan;
- keamanan informasi dan persyaratan kerahasiaan.
Perencanaan program audit internal dan, beberapa program untuk mengaudit penyedia
eksternal, dapat diatur untuk berkontribusi pada tujuan lain dari organisasi.
Individu mengelola program audit sebaiknya memastikan integritas audit dipertahankan dan
bahwa tidak ada pengaruh yang tidak semestinya yang diberikan atas audit.
Prioritas audit sebaiknya diberikan untuk mengalokasikan sumber daya dan metode untuk hal-
hal dalam sistem manajemen dengan risiko inheren yang lebih tinggi dan tingkat kinerja yang
lebih rendah.
7
Individu yang kompeten sebaiknya ditugaskan untuk mengelola program audit.
Program audit sebaiknya memasukkan informasi dan mengidentifikasi sumber daya untuk
memungkinkan audit dilakukan secara efektif dan efisien dalam jangka waktu yang
ditentukan. Informasi tersebut sebaiknya mencakup: a) tujuan untuk program audit;
a) risiko dan peluang yang terkait dengan program audit (lihat 5.3 ) dan tindakan untuk
mengatasinya;
b) ruang lingkup (luas, batas, lokasi ) dari setiap audit dalam program audit;
c) jadwal (jumlah / durasi / frekuensi) dari audit;
d) jenis audit, seperti internal atau eksternal;
e) kriteria audit;
f) metode audit yang akan digunakan;
g) kriteria untuk memilih anggota tim audit;
h) informasi terdokumentasi yang relevan.
Beberapa informasi ini mungkin tidak tersedia sampai perencanaan audit yang lebih rinci selesai.
Pelaksanaan program audit sebaiknya dipantau dan diukur secara berkelanjutan (lihat 5.6 )
untuk memastikan tujuan-tujuannya telah tercapai. Program audit sebaiknya ditinjau untuk
mengidentifikasi kebutuhan akan perubahan dan peluang yang memungkinkan untuk perbaikan
(lihat 5.7 ).
Gambar 1 menggambarkan aliran proses untuk pengelolaan program audit.
8
CATATAN 1 Gambar ini menggambarkan penerapan siklus Plan-Do-Check-Act dalam dokumen ini.
CATATAN 2 Penomoran klausul / sub-klausul mengacu pada klausa / subklausa yang relevan dari
dokumen ini.
Gambar 1 - Proses mengalir untuk itu pengelolaan dari sebuah program audit
9
b) karakteristik dan persyaratan untuk proses, produk, layanan dan proyek, dan perubahan apa
pun padanya;
c) persyaratan sistem manajemen;
d) kebutuhan untuk evaluasi penyedia eksternal ;
e) tingkat kinerja auditee dan tingkat kematangan sistem manajemen , sebagaimana tercermin
dalam indikator kinerja yang relevan (misalnya KPI), terjadinya ketidaksesuaian atau
insiden atau keluhan dari pihak yang berkepentingan;
f) mengidentifikasi risiko dan peluang kepada auditee;
g) hasil audit sebelumnya.
Contoh tujuan program audit dapat mencakup hal-hal berikut:
- mengidentifikasi peluang untuk peningkatan sistem manajemen dan kinerjanya;
- mengevaluasi kemampuan audit untuk menentukan konteksnya;
-mengevaluasi kemampuan auditee untuk menentukan risiko dan peluang dan untuk
mengidentifikasi dan menerapkan tindakan yang efektif untuk mengatasinya;
- sesuai dengan semua persyaratan yang relevan, misalnya persyaratan undang-undang dan
peraturan, komitmen kepatuhan, persyaratan sertifikasi untuk standar sistem manajemen;
- mendapatkan dan mempertahankan kepercayaan pada kemampuan penyedia eksternal;
-menentukan kelanjutan kesesuaian, kecukupan dan keefektifan sistem
manajemen nite auditee ;
- mengevaluasi kompatibilitas dan keselarasan tujuan sistem manajemen dengan arah strategis
organisasi.
10
yang relevan, kegagalan untuk melindungi catatan audit secara memadai untuk
menunjukkan efektivitas program audit;
g) memantau, mengkaji dan memperbaiki program audit, misalnya pemantauan hasil program
audit yang tidak efektif;
h) ketersediaan dan kerjasama auditee dan ketersediaan bukti untuk dijadikan sampel.
Peluang untuk meningkatkan program audit dapat mencakup:
- memungkinkan banyak audit dilakukan dalam satu kunjungan;
- meminimalkan waktu dan jarak perjalanan ke situs;
- Menyesuaikan tingkat kompetensi tim audit dengan tingkat kepatuhan yang diperlukan untuk
mencapai tujuan audit;
- menyelaraskan tanggal audit dengan ketersediaan staf kunci auditee.
11
h) mengomunikasikan program audit kepada klien audit dan, jika sesuai, pihak yang
berkepentingan yang relevan.
Individu mengelola program t audi sebaiknya meminta persetujuannya oleh klien audit.
Faktor-faktor lain yang berdampak pada tingkat program audit dapat mencakup hal-hal berikut:
a) tujuan, ruang lingkup dan durasi setiap audit dan sejumlah audit yang akan dilakukan,
metode pelaporan dan, jika berlaku, tindak lanjut audit;
b) standar sistem manajemen atau kriteria lain yang berlaku;
c) jumlah, kepentingan, kompleksitas, kesamaan dan lokasi kegiatan yang diaudit;
d) faktor-faktor yang mempengaruhi efektivitas sistem manajemen;
e) kriteria audit yang berlaku, seperti pengaturan yang direncanakan untuk standar sistem
manajemen yang relevan, persyaratan undang-undang dan peraturan dan persyaratan lain
yang mana organisasi tersebut dikomit;
f) hasil audit internal dan eksternal sebelumnya dan tinjauan manajemen, jika sesuai;
g) hasil tinjauan program audit sebelumnya;
h) masalah bahasa, budaya dan sosial;
12
i) kekhawatiran pihak yang berkepentingan, seperti keluhan pelanggan,
ketidakpatuhan dengan persyaratan hukum dan peraturan dan persyaratan lain yang
menjadi komitmen organisasi, atau masalah rantai pasokan;
j) perubahan signifikan terhadap konteks auditee atau operasinya dan risiko dan peluang
terkait;
k) ketersediaan teknologi informasi dan komunikasi untuk mendukung kegiatan audit,
khususnya penggunaan metode audit jarak jauh (lihat A.16 );
l) terjadinya peristiwa internal dan eksternal, seperti ketidaksesuaian produk atau layanan,
kebocoran keamanan informasi, kesehatan dan insiden keselamatan, tindakan kriminal atau
insiden lingkungan;
m) risiko dan peluang bisnis, termasuk tindakan untuk mengatasinya.
5.5.1 Umum
Setelah program audit telah ditetapkan (lihat 5.4.3 ) dan sumber daya terkait telah
ditentukan (lihat 5.4.4 ) perlu untuk menerapkan perencanaan operasional dan koordinasi
semua kegiatan dalam program.
Individu mengelola program audit sebaiknya:
13
a) mengomunikasikan bagian-bagian yang relevan dari program audit, termasuk risiko dan
peluang yang terlibat, kepada pihak yang berkepentingan yang relevan dan memberi tahu
mereka secara periodik tentang kemajuannya, menggunakan saluran komunikasi eksternal
dan internal yang telah mapan;
b) menentukan tujuan , ruang lingkup dan kriteria untuk setiap audit individu;
c) pilih metode audit (lihat A.1 );
d) mengkoordinasikan dan menjadwalkan audit dan kegiatan lain yang relevan dengan
program audit;
e) memastikan tim audit memiliki kompetensi yang diperlukan (lihat 5.5.4 );
f) menyediakan kebutuhan dalam sumber daya individu dan timbal balik kepada tim audit
(lihat 5.4.4 );
g) memastikan pelaksanaan audit sesuai dengan program audit, mengelola semua risiko
operasional, peluang, dan masalah (misalnya kejadian tak terduga), saat muncul saat
penyebaran program;
h) memastikan informasi terdokumentasi yang relevan mengenai kegiatan audit dikelola dan
dipelihara dengan baik (lihat 5.5.7 );
I) menetapkan dan mengimplementasikan pengendalian operasional (lihat 5.6 ) yang
diperlukan untuk pemantauan program audit;
j) tinjau kembali program audit saya untuk mengidentifikasi peluang untuk peningkatannya
(lihat 5.7 ).
5.5.2 Menentukan tujuan, ruang lingkup dan kriteria untuk sebuah individu audit
Setiap audit individu sebaiknya didasarkan pada tujuan, ruang lingkup, dan kriteria audit yang
ditentukan. Ini sebaiknya konsisten dengan tujuan program audit secara keseluruhan.
Tujuan audit menentukan apa yang sebaiknya dicapai oleh audit individu dan mungkin termasuk
yang berikut:
a) penentuan tingkat kesesuaian sistem manajemen yang akan diaudit, atau bagian-bagiannya,
dengan kriteria audit;
b) evaluasi kemampuan sistem manajemen untuk membantu organisasi dalam memenuhi
persyaratan peraturan perundang-undangan dan persyaratan lain yang terkait dengan
organisasi;
c) evaluasi keefektifan sistem manajemen dalam memenuhi hasil yang diinginkan;
d) identifikasi peluang untuk peningkatan potensi sistem manajemen;
e) evaluasi kesesuaian dan kecukupan sistem manajemen sehubungan dengan konteks dan
arahan strategis auditee;
f) evaluasi kemampuan sistem manajemen untuk menetapkan dan mencapai tujuan dan secara
efektif mengatasi risiko dan peluang, dalam konteks yang berubah, termasuk pelaksanaan
tindakan terkait.
Ruang lingkup audit sebaiknya konsisten dengan program audit dan tujuan audit. Ini termasuk
faktor-faktor seperti lokasi, fungsi, kegiatan dan proses yang diaudit, serta periode waktu yang
dicakup oleh audit.
14
Kriteria audit digunakan sebagai referensi terhadap kesesuaian yang ditentukan. Ini mungkin
termasuk satu atau lebih dari yang berikut: kebijakan yang berlaku, proses, prosedur, kriteria
kinerja termasuk tujuan, persyaratan undang-undang dan peraturan, persyaratan sistem
manajemen, informasi mengenai konteks dan risiko dan peluang sebagaimana ditentukan oleh
auditee (termasuk eksternal yang relevan / persyaratan pihak yang berkepentingan internal),
kode perilaku sektor atau pengaturan yang direncanakan lainnya.
Dalam hal terjadi perubahan pada tujuan, ruang lingkup atau kriteria audit, program audit
sebaiknya dimodifikasi jika perlu dan dikomunikasikan kepada pihak yang berkepentingan,
untuk persetujuan jika perlu.
Ketika lebih dari satu disiplin sedang diaudit pada saat yang sama , penting bahwa tujuan, ruang
lingkup dan kriteria audit konsisten dengan program audit yang relevan untuk masing-masing
disiplin. Beberapadisiplin dapat memiliki ruang lingkup yang mencerminkan seluruh organisasi
dan yang lain dapat memiliki ruang lingkup yang mencerminkan sebagian dari keseluruhan
organisasi.
Untuk memastikan kompetensi keseluruhan dari tim audit, langkah-langkah berikut sebaiknya
dilakukan:
- identifikasi kompetensi yang dibutuhkan untuk mencapai tujuan audit;
- pemilihan anggota tim audit sehingga kompetensi yang diperlukan hadir di tim audit.
Dalam menentukan ukuran dan komposisi tim audit untuk audit tertentu, pertimbangan
sebaiknya diberikan sebagai berikut:
15
a) kompetensi keseluruhan dari tim audit yang diperlukan untuk mencapai tujuan audit,
dengan mempertimbangkan ruang lingkup dan kriteria audit ;
b) kompleksitas audit;
c) apakah audit merupakan audit gabungan atau gabungan;
d) metode audit yang dipilih;
e) memastikan objektivitas dan ketidakberpihakan untuk menghindari konflik kepentingan
dari proses audit;
f) kemampuan anggota tim audit untuk bekerja dan berinteraksi secara efektif dengan
perwakilan auditee dan pihak yang berkepentingan yang relevan;
g) masalah eksternal / internal yang relevan, seperti bahasa audit, dan karakteristik sosial dan
budaya pihak yang diaudit. Masalah-masalah ini dapat diatasi baik oleh keterampilan
auditor sendiri atau melalui dukungan dari seorang ahli teknis, juga
mempertimbangkan kebutuhan untuk penerjemah;
h) jenis dan kompleksitas proses yang diaudit.
Apabila diperlukan, individu yang mengelola program audit sebaiknya berkonsultasi dengan
pemimpin tim pada komposisi tim audit.
Jika kompetensi yang diperlukan tidak tertutupi oleh auditor di tim audit, ahli teknis dengan
kompetensi tambahan sebaiknya tersedia untuk mendukung tim.
Auditor-dalam masa-pelatihan dapat dimasukkan dalam tim audit, tetapi sebaiknya
berpartisipasi di bawah arahan dan bimbingan auditor.
Perubahan tergantung pada komposisi tim audit mungkin diperlukan selama audit, misalnya jika
konflik kepentingan atau masalah kompetensi muncul. Jika situasi seperti itu muncul, itu
sebaiknya diselesaikan dengan pihak yang sesuai (misalnya pemimpin tim audit,
individu mengelola program audit, klien audit atau auditee) sebelum ada perubahan yang
dibuat.
5.5.5 Menetapkan tanggung jawab untuk audit individu kepada pemimpin tim audit
Individu mengelola program audit sebaiknya menetapkan tanggung jawab untuk melakukan
audit individu kepada pemimpin tim audit.
Penugasan sebaiknya dilakukan dalam waktu yang cukup sebelum tanggal audit yang
dijadwalkan, untuk memastikan perencanaan audit yang efektif.
Untuk memastikan perilaku yang efektif dari audit individu, informasi berikut sebaiknya
diberikan kepada pemimpin tim audit:
a) tujuan audit;
b) kriteria audit dan informasi yang didokumentasikan yang relevan;
c) ruang lingkup audit, termasuk identifikasi organisasi dan fungsi dan proses yang diaudit;
d) proses audit dan metode terkait;
e) komposisi tim audit;
f) rincian kontak auditee, lokasi, jangka waktu dan durasi kegiatan audit yang akan
dilakukan;
16
g) sumber daya yang diperlukan untuk melakukan audit;
h) informasi yang diperlukan untuk mengevaluasi dan berpakaian iklan mengidentifikasi
risiko dan peluang untuk pencapaian tujuan audit;
i) informasi yang mendukung pemimpin tim audit dalam interaksi mereka dengan auditee
untuk efektivitas program audit.
Informasi tugas sebaiknya juga mencakup hal-hal berikut, yang sesuai:
- bahasa kerja dan pelaporan audit di mana ini berbeda dari bahasa auditor atau auditee, atau
keduanya;
- mengaudit output pelaporan sesuai kebutuhan dan kepada siapa itu akan didistribusikan;
- hal-hal yang berkaitan dengan kerahasiaan dan keamanan informasi, seperti yang
dipersyaratkan oleh program audit;
- pengaturan kesehatan, keselamatan dan lingkungan untuk auditor;
- persyaratan untuk perjalanan atau akses ke situs remote;
- setiap permintaan keamanan dan otorisasi ;
- tindakan apa pun yang akan ditinjau, misalnya tindak lanjut dari audit sebelumnya;
- koordinasi dengan kegiatan audit lainnya, misalnya ketika tim yang berbeda mengaudit proses
serupa atau terkait di lokasi yang berbeda atau dalam kasus audit bersama.
Di sini audit bersama dilakukan, penting untuk mencapai kesepakatan di antara organisasi yang
melakukan audit, sebelum audit dimulai, pada tanggung jawab khusus masing-masing pihak,
terutama yang berkaitan dengan kewenangan pemimpin tim yang ditunjuk untuk audit.
17
Rekaman dapat mencakup hal-hal berikut:
a) Catatan terkait dengan program audit, seperti:
- jadwal audit;
- tujuan dan cakupan program audit;
- mereka yang menangani risiko dan peluang program audit, dan isu-isu eksternal dan
internal yang relevan;
- review dari program audit yang efektif .
b) Catatan yang terkait dengan setiap audit, seperti:
- rencana audit dan laporan audit;
- bukti audit objektif dan temuan;
- laporan ketidaksesuaian;
- kriteria untuk pemilihan tim audit dan anggota tim dan pembentukan tim audit; -
pemeliharaan dan peningkatan kompetensi.
Bentuk dan tingkat detail dari rekaman sebaiknya menunjukkan bahwa tujuan dari program
audit telah tercapai.
18
- mengidentifikasi konflik kepentingan;
- persyaratan klien audit.
6 Melakukan audit
6.1 Umum
Klausul ini berisi panduan untuk mempersiapkan dan melakukan audit spesifik sebagai bagian
dari program audit. Gambar 2 memberikan gambaran umum tentang kegiatan yang dilakukan
dalam audit khas. Sejauh mana ketentuan klausul ini berlaku tergantung pada tujuan dan ruang
lingkup audit tertentu.
19
6.2 Memulai audit
6.2.1 Umum
Tanggung jawab untuk melakukan audit sebaiknya tetap dengan pemimpin tim audit yang
ditugaskan (lihat 5.5.5 ) sampai udit selesai (lihat 6.6 ).
Untuk memulai audit, langkah-langkah pada Gambar 1 sebaiknya dipertimbangkan; namun
urutannya dapat berbeda tergantung pada auditee, proses dan keadaan spesifik audit.
Jika audit tidak layak, alternatif sebaiknya diajukan ke klien audit, sesuai dengan auditee.
20
6.3 Mempersiapkan kegiatan audit
21
Untuk audit gabungan, perhatian khusus sebaiknya diberikan kepada interaksi
antara proses operasional al dan tujuan dan prioritas yang bersaing dari sistem manajemen yang
berbeda.
22
6.3.3 Menugaskan pekerjaan untuk mengaudit tim
Ketua tim audit, dalam konsultasi dengan tim audit, sebaiknya menetapkan tanggung jawab
masing-masing anggota tim untuk proses khusus, kegiatan, fungsi atau lokasi uditing dan, jika
sesuai, kewenangan untuk pengambilan keputusan. Penugasan tersebut sebaiknya
mempertimbangkan ketidakberpihakan dan objektivitas dan kompetensi auditor dan
penggunaan sumber daya yang efektif, serta peran dan tanggung jawab auditor, auditor-in-
training dan ahli teknis yang berbeda.
Rapat tim audit sebaiknya diadakan, sebagaimana mestinya, oleh ketua tim audit untuk
mengalokasikan penugasan kerja dan memutuskan kemungkinan perubahan. Perubahan pada
penugasan kerja dapat dilakukan saat audit berlangsung untuk memastikan pencapaian tujuan
audit.
Informasi yang terdokumentasi yang disiapkan untuk, dan dihasilkan dari, audit sebaiknya
dipertahankan setidaknya sampai audit selesai, atau sebagaimana ditentukan dalam program
audit. Penyimpanan informasi yang terdokumentasi setelah penyelesaian audit dijelaskan
dalam 6.6 . Informasi yang terdokumentasi yang dibuat selama proses audit yang melibatkan
informasi rahasia atau hak milik sebaiknya selalu dijaga setiap saat oleh anggota tim audit.
6.4.1 Umum
Kegiatan audit biasanya dilakukan dalam urutan defeded seperti yang ditunjukkan pada Gambar
1 . Urutan ini dapat bervariasi sesuai dengan keadaan audit tertentu.
23
Panduan, yang ditunjuk oleh auditee, sebaiknya membantu tim audit dan bertindak
atas permintaan pemimpin tim audit atau auditor yang telah ditugaskan kepada
mereka. Tanggung jawab mereka sebaiknya mencakup hal - hal berikut:
a) membantu auditor dalam mengidentifikasi individu untuk berpartisipasi dalam wawancara
dan mengkonfirmasi pengaturan waktu dan lokasi;
b) mengatur akses ke lokasi spesifik auditee;
c) memastikan bahwa peraturan mengenai pengaturan khusus lokasi untuk akses, kesehatan
dan keselamatan, lingkungan, keamanan, kerahasiaan, dan masalah lainnya diketahui dan
dihormati oleh anggota tim audit dan pengamat dan setiap risiko ditangani;
d) menyaksikan audit atas nama auditee, bila sesuai;
e) memberikan klarifikasi atau bantuan dalam mengumpulkan informasi, bila diperlukan.
24
- hal-hal yang berkaitan dengan kerahasiaan dan keamanan informasi;
- akses yang relevan, kesehatan dan keselamatan, keamanan, darurat dan pengaturan lain untuk
tim audit;
- kegiatan di situs yang dapat berdampak pada pelaksanaan audit.
Penyajian informasi tentang hal-hal berikut sebaiknya dipertimbangkan, sebagaimana mestinya:
- metode pelaporan temuan audit termasuk kriteria untuk penilaian, jika ada;
- kondisi di mana audit dapat dihentikan;
- bagaimana menangani temuan yang mungkin selama audit;
- sistem apa pun untuk umpan balik dari pihak yang diaudit atas temuan atau kesimpulan audit,
termasuk keluhan atau banding.
25
6.4.6 Meninjau informasi yang terdokumentasi saat melakukan audit
Informasi terdokumentasi yang diaudit yang relevan sebaiknya ditinjau ulang untuk:
Peninjauan dapat dikombinasikan dengan kegiatan audit lainnya dan dapat terus berlanjut
sepanjang audit, dengan ketentuan ini tidak merugikan keefektifan pelaksanaan audit.
Jika informasi terdokumentasi yang memadai tidak dapat diberikan dalam jangka waktu
yang diberikan dalam rencana audit, pemimpin tim audit sebaiknya menginformasikan baik
individu mengelola program audit dan auditee. Tergantung pada tujuan dan ruang lingkup audit,
keputusan sebaiknya dibuat mengenai apakah audit sebaiknya dilanjutkan atau
ditangguhkan hingga masalah-masalah yang didokumentasikan diselesaikan.
Hanya informasi yang dapat dikenakan beberapa verifikasi sebaiknya diterima sebagai bukti
audit. Dimana tingkat verifikasi rendah auditor sebaiknya menggunakan penilaian profesional
mereka untuk menentukan tingkat kepercayaan yang dapat ditempatkan di atasnya sebagai
bukti. Bukti audit yang mengarah ke temuan audit sebaiknya dicatat. Jika, selama pengumpulan
bukti objektif, tim audit menjadi sadar akan setiap situasi baru atau berubah, atau risiko atau
peluang, ini sebaiknya ditangani oleh tim yang sesuai.
Gambar 2 memberikan gambaran umum pada proses typical, dari mengumpulkan informasi
hingga mencapai kesimpulan audit .
26
Gambar 2 - Tinjauan umum tentang proses pengumpulan dan verifikasi informasi yang
khas
Metode pengumpulan informasi termasuk, tetapi tidak terbatas pada hal-hal berikut:
- wawancara;
- pengamatan;
- Ulasan informasi yang terdokumentasi.
CATATAN 3 Panduan untuk memilih sumber informasi dan observasi diberikan dalam A.14 .
27
Noncon formities dapat dinilai tergantung pada konteks organisasi dan risikonya. Penilaian ini
dapat bersifat kuantitatif (misalnya 1 hingga 5) dan kualitatif (misalnya minor, mayor). Mereka
sebaiknya ditinjau dengan auditee untuk mendapatkan pengakuan bahwa aud itu bukti akurat
dan bahwa ketidaksesuaian dipahami. Setiap upaya sebaiknya dilakukan untuk menyelesaikan
setiap pendapat yang berbeda tentang bukti audit atau temuan. Masalah yang belum
terselesaikan sebaiknya dicatat dalam laporan audit.
Tim audit sebaiknya siap ketika diperlukan untuk meninjau temuan audit pada tahap yang tepat
selama audit.
CATATAN 1 Panduan tambahan tentang identifikasi dan evaluasi temuan audit diberikan
dalam A.18 .
CATATAN 2 Kesesuaian atau ketidaksesuaian dengan kriteria audit yang terkait dengan statut ory atau
persyaratan peraturan atau persyaratan lainnya, kadang-kadang disebut sebagai kepatuhan atau
ketidakpatuhan.
28
6.4.10 Melakukan rapat penutupan
Pertemuan penutup sebaiknya diadakan untuk menyajikan temuan dan kesimpulan yang ada.
Rapat penutupan sebaiknya dipimpin oleh ketua tim audit dan dihadiri oleh manajemen auditee
dan termasuk, sebagaimana berlaku:
- Mereka yang bertanggung jawab atas fungsi atau proses yang telah diaudit;
- klien audit;
- anggota tim audit lainnya;
- pihak terkait yang relevan lainnya sebagaimana ditentukan oleh klien audit dan / atau auditee.
Jika berlaku, pemimpin tim audit sebaiknya menyarankan auditee dari situasi yang dihadapi
selama audit yang dapat mengurangi kepercayaan diri yang dapat ditempatkan dalam
kesimpulan audit. Jika didefinisikan dalam sistem manajemen atau dengan kesepakatan dengan
klien audit, para peserta sebaiknya menyetujui kerangka waktu untuk rencana aksi untuk
menangani temuan audit.
Tingkat perincian sebaiknya mempertimbangkan keefektifan sistem manajemen dalam
mencapai tujuan auditee, termasuk pertimbangan konteks dan risiko serta peluangnya.
Keakraban auditee dengan proses audit juga sebaiknya dipertimbangkan selama pertemuan
penutupan, untuk memastikan tingkat rincian yang benar diberikan kepada peserta.
Untuk beberapa situasi audit, pertemuan dapat bersifat formal dan menit, termasuk catatan
kehadiran, sebaiknya disimpan. Dalam contoh lain, misalnya audit internasional, rapat
penutupan dapat menjadi kurang formal dan hanya terdiri dari mengkomunikasikan temuan
audit dan kesimpulan audit.
Jika perlu, hal-hal berikut sebaiknya dijelaskan kepada auditee dalam rapat penutupan:
a) memberi nasihat bahwa bukti audit dikumpulkan didasarkan pada sampel dari informasi yang
tersedia dan belum tentu sepenuhnya mewakili keefektifan proses auditee secara
keseluruhan; b) metode pelaporan;
c) bagaimana temuan audit sebaiknya ditangani berdasarkan proses yang disepakati;
d) konsekuensi yang mungkin terjadi karena tidak memadai menangani temuan audit;
e) penyajian temuan audit dan kesimpulan sedemikian rupa sehingga mereka dipahami dan
diakui oleh manajemen auditee;
f) setiap kegiatan pasca-audit terkait (mis. pelaksanaan dan peninjauan tindakan korektif,
menangani keluhan audit, proses banding).
Pendapat yang berbeda tentang temuan audit atau kesimpulan antara tim audit dan auditee
sebaiknya didiskusikan dan, jika memungkinkan, diselesaikan. Jika tidak diselesaikan , ini
sebaiknya dicatat.
Jika ditentukan oleh tujuan audit, peluang untuk rekomendasi perbaikan dapat
disajikan. Sebaiknya ditekankan bahwa rekomendasi tidak mengikat.
29
6.5 Mempersiapkan dan mendistribusikan laporan audit
30
Laporan audit sebaiknya diberi tanggal, ditinjau dan diterima, sebagaimana mestinya, sesuai
dengan program audit.
Laporan audit kemudian sebaiknya didistribusikan kepada pihak berkepentingan yang relevan
yang ditentukan dalam program audit atau rencana audit.
Ketika mendistribusikan laporan audit, tindakan yang tepat untuk memastikan kerahasiaan
sebaiknya dipertimbangkan.
7.1 Umum
Keyakinan dalam proses audit dan kemampuan untuk mencapai tujuannya tergantung pada
kompetensi orang-orang yang terlibat dalam melakukan audit, termasuk auditor dan pemimpin
tim audit. Co mpetence sebaiknya dievaluasi secara berkala melalui proses yang
mempertimbangkan perilaku pribadi dan kemampuan untuk menerapkan pengetahuan dan
keterampilan yang diperoleh melalui pendidikan, pengalaman kerja, pelatihan auditor dan
pengalaman audit. Proses ini sebaiknya mempertimbangkan kebutuhan program audit dan
tujuannya. Beberapa pengetahuan dan keterampilan yang dijelaskan dalam 7.2.3 adalah umum
31
bagi auditor dari disiplin sistem manajemen mana pun; yang lain khusus untuk disiplin sistem
manajemen individu. Itu bukan neces sary untuk setiap auditor dalam tim audit untuk memiliki
kompetensi yang sama. Namun, kompetensi keseluruhan tim audit sebaiknya cukup untuk
mencapai tujuan audit.
Evaluasi kompetensi auditor sebaiknya direncanakan, diimplementasikan dan
didokumentasikan untuk memberikan hasil yang obyektif, konsisten, adil dan dapat
diandalkan. Proses evaluasi sebaiknya mencakup empat langkah utama, sebagai berikut:
a) menentukan kompetensi yang dibutuhkan untuk memenuhi kebutuhan program audit;
b) menetapkan kriteria evaluasi;
c) memilih metode evaluasi yang tepat;
d) melakukan evaluasi.
Hasil dari proses evaluasi sebaiknya memberikan dasar untuk hal-hal berikut:
- pemilihan anggota tim audit (seperti yang dijelaskan dalam 5.5.4 );
7.2.1 Umum
Dalam memutuskan kompetensi yang diperlukan untuk audit, pengetahuan dan keterampilan
auditor yang terkait dengan tindak lanjut sebaiknya dipertimbangkan:
a) ukuran, sifat, kompleksitas, produk, layanan dan proses auditee;
b) metode untuk audit;
c) disiplin sistem manajemen yang diaudit;
d) kompleksitas dan proses sistem manajemen yang diaudit;
e) jenis dan tingkat risiko dan peluang yang ditangani oleh sistem manajemen;
f) tujuan dan tingkat program audit;
g) ketidakpastian dalam mencapai tujuan audit;
h) persyaratan lain, seperti yang dikenakan oleh klien audit atau pihak terkait yang relevan
lainnya, jika diperlukan.
32
Informasi ini sebaiknya dicocokkan dengan yang tercantum dalam 7.2.3 .
7.2.3.1 Umum
Auditor sebaiknya memiliki:
a) pengetahuan dan keterampilan yang diperlukan untuk mencapai hasil yang diharapkan
dari audit yang diharapkan mereka lakukan;
b) kompetensi umum dan tingkat disiplin serta pengetahuan dan keterampilan khusus sektor.
Pemimpin tim audit sebaiknya memiliki pengetahuan dan keterampilan tambahan yang
diperlukan untuk memberikan kepemimpinan kepada tim audit.
33
7.2.3.2 Pengetahuan dan keterampilan umum dari auditor sistem manajemen
Auditor sebaiknya memiliki pengetahuan dan keterampilan di bidang yang diuraikan di bawah
ini.
a) Prinsip, proses dan metode audit: pengetahuan dan keterampilan di bidang ini memungkinkan
auditor untuk memastikan audit dilakukan secara konsisten dan sistematis.
Seorang auditor sebaiknya dapat:
- memahami jenis risiko dan peluang yang terkait dengan audit dan prinsip pendekatan
berbasis risiko untuk audit;
- merencanakan dan mengatur pekerjaan secara efektif;
- melakukan audit dalam jadwal waktu yang disepakati ;
- memprioritaskan dan fokus pada hal-hal penting;
- berkomunikasi secara efektif, lisan dan tertulis (baik secara pribadi, atau melalui
penggunaan penerjemah);
- mengumpulkan informasi melalui wawancara yang efektif, mendengarkan, mengamati dan
meninjau informasi yang terdokumentasi , termasuk catatan dan data;
- memahami kesesuaian dan konsekuensi menggunakan teknik sampling untuk audit;
- memahami dan mempertimbangkan pendapat ahli teknis;
- mengaudit suatu proses dari awal hingga selesai, termasuk keterkaitan dengan proses lain
dan fungsi yang berbeda, jika sesuai;
- memverifikasi relevansi dan keakuratan informasi yang dikumpulkan;
- mengkonfirmasi kecukupan dan kesesuaian bukti audit untuk mendukung temuan dan
kesimpulan audit;
- menilai faktor-faktor yang dapat mempengaruhi keandalan temuan dan kesimpulan audit;
b) Standar sistem manajemen dan referensi lainnya: pengetahuan dan keterampilan di bidang
ini memungkinkan auditor untuk memahami ruang lingkup audit dan menerapkan kriteria
audit, dan sebaiknya mencakup hal-hal berikut:
- standar sistem manajemen atau dokumen normatif lain atau dokumen / dokumen
pendukung yang digunakan untuk menetapkan kriteria atau metode audit;
- penerapan standar sistem manajemen oleh auditee dan organisasi lain;
34
- kebutuhan dan harapan pihak berkepentingan yang relevan yang berdampak pada sistem
manajemen;
- jenis organisasi, tata kelola, ukuran, struktur, fungsi dan hubungan;
- kegunaan umum dan konsep manajemen, proses dan terminologi terkait, termasuk
perencanaan, penganggaran dan manajemen individu; - aspek budaya dan sosial auditee.
d) Persyaratan hukum dan peraturan yang berlaku dan persyaratan lainnya: pengetahuan dan
keterampilan dalam bidang ini memungkinkan auditor untuk mengetahui, dan bekerja di
dalam, persyaratan organisasi. Pengetahuan dan keterampilan khusus untuk yurisdiksi atau
kegiatan, proses, produk, dan layanan auditee sebaiknya mencakup hal-hal berikut:
- persyaratan perundang - undangan dan peraturan dan lembaga yang mengatur mereka;
- terminologi hukum dasar;
- kontrak dan kewajiban.
CATATAN: Perhatikan Kesadaran akan persyaratan hukum dan peraturan tidak menyiratkan
keahlian hukum dan audit sistem manajemen tidak boleh diperlakukan sebagai audit kepatuhan
hukum.
c) mengembangkan dan memelihara hubungan kerja kolaboratif di antara anggota tim audit;
d) mengelola proses audit, termasuk:
- memanfaatkan sumber daya secara efektif selama audit;
- mengelola ketidakpastian pencapaian tujuan audit;
35
- melindungi kesehatan dan keselamatan anggota tim audit selama audit, termasuk
memastikan kepatuhan auditor dengan kesehatan dan keselamatan yang relevan, dan
pengaturan keamanan;
- mengarahkan anggota tim audit;
- memberikan arahan dan bimbingan kepada auditor-dalam-pelatihan;
- Mencegah dan menyelesaikan konflik dan masalah yang dapat terjadi selama audit,
termasuk yang ada dalam tim audit, jika diperlukan.
e) mewakili tim audit dalam komunikasi dengan individu mengelola program audit, klien audit
dan auditee;
f) memimpin tim audit untuk mencapai kesimpulan audit;
g) menyiapkan dan menyelesaikan laporan audit.
36
sesebaiknyanya diperoleh dengan bekerja di bawah arahan dan bimbingan pemimpin tim lain
yang berbeda .
37
7,5 Melakukan evaluasi auditor
Informasi yang dikumpulkan tentang auditor yang dievaluasi sebaiknya dibandingkan dengan
kriteria yang ditetapkan dalam 7.2.3 . Ketika auditor yang dievaluasi yang diharapkan untuk
berpartisipasi dalam program audit tidak memenuhi kriteria, maka pelatihan tambahan ,
pengalaman kerja atau audit sebaiknya dilakukan dan evaluasi ulang selanjutnya sebaiknya
dilakukan.
c) standar yang relevan termasuk panduan / dokumen pendukung dan persyaratan lainnya;
38