Tema Pelatihan

Audit internal Sistem manajemen keamanan

informasi berbasis sni iso/iec 19011:2018
Materi 6 - Klausul 6 Pelaksanaan Audit (Part 1)
 6 Melaksanakan Audit

6.1 Umum
Pasal ini memuat panduan tentang persiapan dan pelaksanaan audit
spesifik sebagai bagian dari program audit.

DTS 2022 #Jadijagoandigital

 6.2 Memulai audit

6.2.1 Umum

Tanggung jawab untuk melaksanakan audit sebaiknya tetap

pada ketua tim audit yang ditugaskan (lihat 5.5.5) sampai
audit selesai (lihat 6.6).

Untuk memulai audit, langkah pada Gambar 1 sebaiknya

dipertimbangkan; namun demikian, urutannya dapat
berbeda tergantung auditi, proses dan keadaan audit
spesifik.

DTS 2022 #Jadijagoandigital

DTS 2022 #Jadijagoandigital
 6.2.2 Menjalin kontak awal dengan auditi

Ketua tim audit sebaiknya memastikan bahwa kontak dilakukan dengan auditi untuk:
a.mengonfirmasi saluran komunikasi dengan perwakilan auditi;
b.mengonfirmasi wewenang melaksanakan audit;
c.memberikan informasi yang relevan tentang sasaran audit, ruang lingkup, kriteria, metode dan komposisi tim audit, termasuk
tenaga ahli;
d.meminta akses ke informasi yang relevan untuk tujuan perencanaan termasuk informasi tentang risiko dan peluang yang telah
diidentifikasi organisasi dan cara penanganannya;
e.menentukan persyaratan peraturan perundangan yang berlaku dan persyaratan lain yang relevan dengan aktivitas, proses,
produk, dan jasa dari auditi;
f.mengonfirmasi persetujuan dengan auditi tentang sejauh mana pengungkapan dan perlakuan terhadap informasi rahasia;
g.membuat pengaturan untuk audit termasuk jadwal;
h.menentukan pengaturan spesifik lokasi untuk akses, kesehatan dan keselamatan, keamanan, kerahasiaan atau lainnya;
i.menyetujui kehadiran pengamat dan kebutuhan akan panduan atau penerjemah untuk tim audit;
j.menentukan bidang yang diminati, kepedulian atau risiko bagi auditi sehubungan dengan audit spesifik;
k.menyelesaikan isu tentang komposisi tim audit dengan auditi atau klien audit.

DTS 2022 #Jadijagoandigital

 6.2.3 Menentukan kelayakan audit

Kelayakan audit sebaiknya ditentukan untuk memberikan keyakinan yang

beralasan bahwa tujuan audit dapat dicapai.

Penentuan kelayakan sebaiknya mempertimbangkan faktor sebagai berikut:

a.informasi yang cukup dan sesuai untuk perencanaan dan pelaksanaan audit,
b.kerjasama yang cukup dari auditi,
c.waktu dan sumberdaya yang cukup untuk melaksakan audit.
CATATAN Sumber daya termasuk akses ke teknologi informasi dan komunikasi yang cukup dan
tepat.

Bila audit dinilai tidak layak, alternatif lain sebaiknya diusulkan kepada klien
audit, dengan persetujuan auditi.

DTS 2022 #Jadijagoandigital

 6.3 Mempersiapkan aktivitas audit

6.3.1 Melakukan tinjauan terhadap informasi terdokumentasi

Informasi terdokumentasi mengenai sistem manajemen yang relevan dari auditi

sebaiknya ditinjau untuk:

• mengumpulkan informasi untuk memahami operasi auditi serta mempersiapkan

aktivitas audit dan dokumen kerja audit yang berlaku (lihat 6.3.4), misal pada proses,
fungsi;
• menetapkan tinjauan dari jangkauan informasi terdokumentasi untuk menentukan
kesesuaian yang mungkin dengan kriteria audit dan mendeteksi area yang mungkin
menjadi perhatian, seperti kekurangan, kelalaian atau konflik.

Informasi terdokumentasi sebaiknya mencakup, tetapi tidak terbatas pada: dokumen

dan rekaman sistem manajemen, serta laporan audit sebelumnya. Tinjauan sebaiknya
memperhitungkan konteks organisasi auditi, termasuk ukuran, sifat dan kerumitannya,
serta risiko dan peluang yang terkait. Hal ini juga sebaiknya memperhitungkan ruang
lingkup, kriteria dan sasaran audit.

DTS 2022 #Jadijagoandigital

 6.3.2 Perencanaan audit

6.3.2.1 Perencanaan dengan pendekatan berbasis risiko

Ketua tim audit sebaiknya mengadopsi pendekatan berbasis risiko untuk

merencanakan audit berdasarkan informasi dalam program audit dan
informasi terdokumentasi yang disediakan oleh auditi.

Perencanaan audit sebaiknya mempertimbangkan risiko aktivitas audit pada

proses auditi dan memberikan dasar untuk kesepakatan antara klien audit, tim
audit, dan auditi mengenai pelaksanaan audit. Perencanaan sebaiknya
memfasilitasi penjadwalan dan koordinasi aktivitas audit yang efisien untuk
mencapai tujuan secara efektif.

Jumlah rincian yang disediakan dalam rencana audit sebaiknya mencerminkan

ruang lingkup dan kompleksitas audit, serta risiko tidak tercapainya sasaran
audit.

DTS 2022 (Cont.)

#Jadijagoandigital
 (Cont.)

Dalam merencanakan audit, ketua tim audit sebaiknya

mempertimbangkan hal berikut:
a. komposisi tim audit dan kompetensi keseluruhannya;
b. teknik pengambilan sampel yang sesuai (lihat A.6);
c. peluang untuk meningkatkan efektivitas dan efisiensi aktivitas
audit;
d. risiko terhadap pencapaian sasaran audit akibat perencanaan
audit yang tidak efektif;
e. risiko terhadap auditi akibat pelaksanaan audit.

Risiko bagi auditi dapat dihasilkan dari kehadiran anggota tim audit yang
mempengaruhi pengaturan auditi untuk kesehatan dan keselamatan,
lingkungan dan kualitas, produk, jasa, personel atau infrastruktur (misal
kontaminasi dalam fasilitas kamar bersih).

Untuk audit gabungan, perhatian khusus sebaiknya diberikan pada

interaksi antara proses operasional dan setiap tujuan serta prioritas dari
DTS 2022 sistem manajemen yang berbeda yang saling bertentangan.
#Jadijagoandigital
 6.3.2.2 Rincian perencanaan audit

Skala dan konten perencanaan audit dapat berbeda, misalnya, antara

audit awal dan audit berikutnya, serta antara audit internal dan
eksternal. Perencanaan audit sebaiknya cukup fleksibel untuk
memperbolehkan perubahan yang diperlukan sesuai dengan kemajuan
aktivitas audit.
Perencanaan audit sebaiknya ditujukan atau diacu untuk hal berikut:
a. sasaran audit;
b. ruang lingkup audit, termasuk identifikasi organisasi dan
fungsinya, serta proses yang diaudit;
c. kriteria audit dan setiap acuan informasi terdokumentasi;
d. lokasi (fisik dan virtual), tanggal, waktu yang diharapkan serta
lamanya aktivitas audit yang akan dilakukan, termasuk rapat
dengan manajemen auditi;
e. perlunya tim audit membiasakan diri dengan fasilitas dan
proses auditi (misal. dengan melakukan kunjungan ke lokasi
fisik, atau meninjau teknologi informasi dan komunikasi);

DTS 2022 #Jadijagoandigital

 f. metode audit yang akan digunakan, termasuk sejauh mana pengambilan
sampel audit diperlukan untuk memperoleh bukti audit yang cukup;
g. peran dan tanggung jawab anggota tim audit, serta pemandu dan
pengamat atau penerjemah;
h. alokasi sumber daya yang tepat berdasarkan pertimbangan risiko dan
peluang terkait dengan aktivitas yang akan diaudit.

Perencanaan audit sebaiknya memperhitungkan, jika perlu:

• identifikasi wakil auditi untuk audit;

• bahasa kerja dan pelaporan audit di mana hal ini berbeda dari bahasa
auditor atau auditi atau keduanya;
• topik laporan audit;
• pengaturan logistik dan komunikasi, termasuk pengaturan spesifik untuk
lokasi yang diaudit;
• setiap tindakan spesifik yang diambil untuk mengatasi risiko terhadap
pencapaian sasaran dan peluang audit yang timbul;

(Cont.)
DTS 2022 #Jadijagoandigital
 (Cont.)

• hal yang berkaitan dengan kerahasiaan dan keamanan informasi;

• setiap tindak lanjut audit sebelumnya atau sumber lain, misal
pembelajaran, tinjauan proyek;
• setiap tindak lanjut aktivitas untuk audit terencana;
• koordinasi dengan aktivitas audit lainnya, dalam hal audit gabungan.

Rencana audit sebaiknya dipresentasikan kepada auditi. Setiap isu terkait

rencana audit sebaiknya diselesaikan antara ketua tim audit, auditi dan,
jika perlu, individu yang mengelola program audit.

DTS 2022 #Jadijagoandigital

 Contoh Dokumen Audit Plan
1. Dokumen Undangan Kepada Auditor untuk Audit
2. Dokumen Undangan Kepada Auditor yang berisi Jadwal Audit
3. Dokumen Undangan Kepada Auditee yang Berisi Jadwal Audit
4. Dokumen Undangan Kepada Auditor dan Auditee yang berisi rangkaian
kegiatan Audit (Opening Meeting, Audit, Closing Meeting)
5. Dokumen Jadwal Audit beserta Rincian Kegiatan untuk Auditor

DTS 2022 #Jadijagoandigital

12
 Contoh Jadwal Audit

DTS 2022 #Jadijagoandigital

13
 Contoh Jadwal Audit beserta Kegiatan

DTS 2022 #Jadijagoandigital

14
 Contoh Dokumen Undangan

DTS 2022 #Jadijagoandigital

15
 6.3.3 Menugaskan pekerjaan ke tim audit

Ketua tim audit, berkonsultasi dengan tim audit, sebaiknya menugaskan

kepada setiap anggota tim yang bertanggung jawab untuk mengaudit
proses, aktivitas, fungsi atau lokasi tertentu dan, jika perlu, wewenang
untuk pengambilan keputusan.

Penugasan tersebut sebaiknya memperhitungkan ketidakberpihakan dan

objektivitas serta kompetensi auditor dan penggunaan sumber daya yang
efektif, serta peran dan tanggung jawab auditor yang berbeda, auditor
magang dan tenaga ahli.

Rapat tim audit sebaiknya diadakan, jika perlu, oleh ketua tim audit untuk
mengalokasikan penugasan kerja dan memutuskan kemungkinan
perubahan. Perubahan penugasan kerja dapat dilakukan saat audit
berlangsung untuk memastikan pencapaian sasaran audit.

DTS 2022 #Jadijagoandigital

 6.3.4 Mempersiapkan informasi terdokumentasi untuk audit

Anggota tim audit sebaiknya mengumpulkan dan meninjau informasi yang relevan dengan penugasan audit dan
menyiapkan informasi terdokumentasi untuk audit, menggunakan media apa pun yang sesuai. Informasi
terdokumentasi untuk audit dapat mencakup tetapi tidak terbatas pada:

a.daftar periksa fisik atau digital;

b.rincian pengambilan sampel audit;
c.informasi audio visual.

Penggunaan media ini tidak boleh membatasi jangkauan aktivitas audit, yang dapat berubah sebagai hasil dari
informasi yang dikumpulkan selama audit.

CATATAN Pedoman untuk menyiapkan dokumen kerja audit diberikan dalam A.13.

Informasi terdokumentasi disiapkan untuk, dan hasil dari, audit sebaiknya disimpan setidaknya sampai audit
selesai, atau sebagaimana ditentukan dalam program audit. Masa simpan informasi terdokumentasi setelah audit
selesai dijelaskan pada 6.6. Informasi terdokumentasi yang dibuat selama proses audit yang melibatkan informasi
rahasia atau hak milik sebaiknya selalu dijaga setiap saat oleh anggota tim audit.

DTS 2022 #Jadijagoandigital

 Audit Checklist

Cheklist Audit adalah catatan Auditor yang berisi kumpulan pertanyaan dan
informasi yang terkait dengan proses dan aktivitas Auditee.

DTS 2022 #Jadijagoandigital

 Audit Checklist
Manfaat Audit Checklist :
1.Membantu mengingat
2.Menjamin mencakup keseluruhan point yang dikendalikan
3.Meyakinkan bahwa interaksi antara proses dicakup
4.Menjamin kedalaman dan kontinuitas audit
5.Menolong dalam pengelolaan waktu
6.Pengaturan pengambilan catatan
7.Bagian dari laporan audit
DTS 2022 #Jadijagoandigital
 Tugas 3

Kepala Sekretariat Sistem Manajemen (Management Representative) menugaskan Saudara untuk

menjadi Ketua Team Audit Internal. Untuk itu buatlah :
1.Rencana Audit (Audit Plan)
2.Audit Checklist (daftar periksa)

DTS 2022 #Jadijagoandigital

 #Jadijagoandigital
Terima Kasih
Tema Pelatihan

Audit internal Sistem manajemen keamanan

informasi berbasis sni iso/iec 19011:2018
Materi 6 - Klausul 6 Pelaksanaan Audit (Part 2)
Disampaikan oleh : Amri Arifianto
 6.4 Melaksanakan kegiatan audit

6.4.1 Umum
Kegiatan audit biasanya dilaksanakan seperti urutan yang ditunjukkan dalam Gambar 2.
Urutan ini dapat bervariasi sesuai dengan keadaan audit spesifik.

6.4.2 Menetapkan peran dan tanggung jawab pengamat serta pemandu

Pemandu dan pengamat dapat menemani tim audit dengan persetujuan ketua tim audit,
klien audit dan/atau auditi, jika diperlukan. Mereka sebaiknya tidak mempengaruhi atau
mengganggu pelaksanaan audit. Jika hal ini tidak dapat dipastikan, ketua tim audit
sebaiknya memiliki hak untuk menolak kehadiran pengamat selama aktivitas audit
tertentu.

Untuk pengamat, pengaturan untuk akses, kesehatan dan keselamatan, lingkungan,

keamanan serta kerahasiaan sebaiknya dikelola antara klien audit dan auditi.

(Cont.)
DTS 2022 #Jadijagoandigital
 (Cont.)

Pemandu, yang ditunjuk oleh auditi, sebaiknya membantu tim audit dan
bertindak atas permintaan ketua tim audit atau auditor tempat mereka
ditugaskan. Tanggung jawab pemandu sebaiknya mencakup hal berikut:

a.membantu auditor dalam mengidentifikasi individu untuk berpartisipasi

dalam wawancara dan memastikan waktu dan lokasi;
b.mengatur akses ke lokasi spesifik dari auditi;
c.memastikan aturan tentang pengaturan spesifik lokasi untuk akses, kesehatan
dan keselamatan, lingkungan, keamanan, kerahasiaan serta isu lainnya
diketahui dan dihormati oleh anggota tim serta pengamat dan risiko apapun
ditangani;
d.menyaksikan audit atas nama auditi, jika sesuai;
e.memberikan klarifikasi atau membantu mengumpulkan informasi, bila
diperlukan.

DTS 2022 #Jadijagoandigital

 6.4.3 Melaksanakan rapat pembuka

Tujuan rapat pembukaan untuk:

a.mengonfirmasi persetujuan semua peserta (misal auditi, tim audit) terhadap rencana audit;
b.memperkenalkan tim audit dan peran mereka;
c.memastikan semua aktivitas audit yang direncanakan dapat dilakukan.

Rapat pembuka sebaiknya diadakan dengan manajemen auditi dan, jika perlu, mereka yang bertanggung
jawab atas fungsi atau proses yang akan diaudit. Selama rapat, kesempatan mengajukan pertanyaan
sebaiknya diberikan.

Tingkat kerincian sebaiknya konsisten dengan kebiasaan auditi pada proses audit. Dalam banyak hal, misal
audit internal di organisasi kecil, rapat pembuka mungkin hanya berupa komunikasi tentang audit yang
akan dilaksanakan serta menjelaskan sifat audit.

(Cont.)

DTS 2022 #Jadijagoandigital

 (Cont.)

Untuk situasi audit lainnya, rapat mungkin formal dan rekaman kehadiran
sebaiknya disimpan. Rapat sebaiknya dipimpin oleh ketua tim audit.
• Pengenalan hal berikut sebaiknya dipertimbangkan, jika sesuai:
• Peserta lain, termasuk pengamat dan pemandu, penerjemah dan ringkasan
peran mereka;
• Metode audit untuk mengelola risiko bagi organisasi yang mungkin timbul
dari keberadaan anggota tim audit.
• Konfirmasi butir berikut sebaiknya dipertimbangkan, jika sesuai
• Sasaran, ruang lingkup, dan kriteria audit;
• Rencana audit dan pengaturan lain yang relevan dengan auditi, seperti
tanggal dan waktu untuk rapat penutup, setiap rapat sementara antara tim
audit dan manajemen auditi, dan setiap perubahan yang diperlukan;
• Saluran komunikasi formal antara tim audit dan auditi
• Bahasa yang akan digunakan selama audit;
• Auditi terus diberi tahu tentang kemajuan audit selama audit;

DTS 2022 #Jadijagoandigital

 (Cont.)

• ketersediaan sumber daya dan fasilitas yang dibutuhkan oleh tim audit;
• hal yang berkaitan dengan kerahasiaan dan keamanan informasi;
• akses yang relevan, kesehatan dan keselamatan, keamanan, keadaan darurat
dan pengaturan lainnya untuk tim audit;
• aktivitas di lokasi yang dapat memengaruhi pelaksanaan audit.

Penyajian informasi tentang hal berikut sebaiknya dipertimbangkan, jika

sesuai:

• metode pelaporan temuan audit termasuk kriteria untuk penilaian, jika

ada
• kondisi di mana audit dapat dihentikan;
• bagaimana menangani kemungkinan temuan selama audit;
• sistem apapun untuk memperoleh umpan balik dari auditi tentang
temuan atau kesimpulan audit, termasuk keluhan atau banding.

DTS 2022 #Jadijagoandigital

 Check List Opening Meeting

No Materi Keterangan

1. Memperkenalkan team

2 Menginformasikan audit plan

3 Menjelaskan tujuan audit

4 Ruang lingkup audit

5 Menjamin kerahasiaan

Konfirmasi organisasi, kreteria temuan audit

6. Persetujuan audit plan

DTS 2022 #Jadijagoandigital

 6.4.4 Berkomunikasi selama audit

Selama audit, mungkin perlu membuat pengaturan formal berkomunikasi dengan tim audit, serta dengan
auditi, klien audit dan kemungkinan sekali dengan pihak berkepentingan eksternal (misal regulator),
terutama jika persyaratan peraturan perundangan mensyaratkan pelaporan wajib dari ketidaksesuaian.

Tim audit sebaiknya berunding secara berkala untuk bertukar informasi, menilai kemajuan audit dan
menugaskan kembali pekerjaan di antara anggota tim audit, sesuai kebutuhan.

Selama audit, ketua tim audit sebaiknya secara berkala mengomunikasikan kemajuan, setiap temuan yang
signifikan, dan masalah apa pun kepada auditi dan klien audit, jika sesuai. Bukti yang dikumpulkan selama
audit yang menunjukkan risiko langsung dan signifikan sebaiknya dilaporkan tanpa ditunda kepada auditi
dan, jika sesuai, kepada klien audit.

(Cont.)

DTS 2022 #Jadijagoandigital

 (Cont.)

Masalah apapun tentang isu di luar ruang lingkup audit sebaiknya

dicatat dan dilaporkan kepada ketua tim audit, untuk kemungkinan
komunikasi dengan klien audit dan auditi.

Jika bukti audit yang tersedia menunjukkan bahwa sasaran audit

tidak dapat dicapai, ketua tim audit sebaiknya melaporkan alasannya
kepada klien audit dan auditi untuk menentukan tindakan yang
sesuai. Tindakan tersebut dapat mencakup perubahan perencanaan
audit, sasaran audit atau ruang lingkup audit, atau penghentian audit.

Setiap kebutuhan untuk perubahan pada rencana audit dapat

menjadi jelas ketika aktivitas audit berlangsung sebaiknya ditinjau
dan diterima, jika sesuai, oleh individu yang mengelola program audit
dan klien audit, dan disampaikan kepada auditi.

DTS 2022 #Jadijagoandigital

 6.4.5 Ketersediaan dan akses informasi audit

Metode audit yang dipilih tergantung pada sasaran, ruang lingkup, dan
kriteria audit yang ditetapkan, serta durasi dan lokasi. Lokasi adalah
tempat tersedianya informasi yang diperlukan tim audit untuk aktivitas
audit spesifik. Hal ini dapat mencakup lokasi fisik dan virtual.

Dimana, kapan dan bagaimana mengakses informasi audit sangat penting

untuk audit. Hal ini tidak tergantung dari tempat informasi dibuat,
digunakan, dan/atau disimpan. Berdasarkan masalah ini, metode audit
perlu ditentukan (lihat Tabel A.1). Audit dapat menggunakan variasi
metode. Keadaan audit dapat berarti bahwa metode perlu berubah
selama audit.

DTS 2022 #Jadijagoandigital

 6.4.6 Meninjau informasi terdokumentasi saat melaksanakan audit

Informasi terdokumentasi yang relevan dari auditi sebaiknya ditinjau untuk:

• menentukan kesesuaian sistem, sejauh yang didokumentasikan, dengan kriteria audit;

• mengumpulkan informasi untuk mendukung aktivitas audit.

CATATAN Panduan tentang cara memverifikasi informasi tersedia dalam A.5.

Tinjauan dapat digabungkan dengan aktivitas audit lainnya dan dapat diteruskan selama audit, jika tidak
merugikan keefektifan pelaksanaan audit.

Jika informasi terdokumentasi yang memadai tidak dapat diberikan dalam jangka waktu yang
ditentukan dalam rencana audit, ketua tim audit sebaiknya memberi tahu individu yang mengelola
program audit dan auditi. Tergantung pada sasaran dan ruang lingkup audit, keputusan sebaiknya
dibuat apakah audit sebaiknya dilanjutkan atau ditangguhkan sampai masalah informasi
terdokumentasi diselesaikan.

DTS 2022 #Jadijagoandigital

 6.4.7 Mengumpulkan dan memverifikasi informasi

Selama audit, informasi yang relevan dengan sasaran, ruang lingkup dan kriteria audit,
termasuk informasi yang berkaitan dengan hubungan antar fungsi, aktivitas dan proses
sebaiknya dikumpulkan dengan cara pengambilan sampel yang sesuai dan sebaiknya
diverifikasi, sejauh dapat dipraktikkan.

CATATAN 1 Untuk memverifikasi informasi, lihat A.5.

CATATAN 2 Panduan tentang pengambilan sampel tersedia dalam A.6.

Hanya informasi yang dapat diverifikasi sampai pada tingkat tertentu sebaiknya
diterima sebagai bukti audit. Jika tingkat verifikasi rendah, auditor sebaiknya
menggunakan penilaian profesional mereka untuk menentukan tingkat kepercayaan
yang dapat ditempatkan sebagai bukti. Bukti audit yang mengarah pada temuan audit
sebaiknya direkam. Jika, selama pengumpulan bukti objektif, tim audit menyadari setiap
keadaan baru atau perubahan, atau risiko atau peluang, hal ini sebaiknya ditangani oleh
tim yang sesuai.

Gambar 2 menyediakan tinjauan umum proses yang khas, dari mengumpulkan

informasi hingga mencapai kesimpulan audit.

DTS 2022 #Jadijagoandigital

 Tinjauan Umum Proses Pengumpulan dan Verfikasi Informasi

Mengumpulkan sampel
Sumber Informasi Bukti Audit
dengan cara yang sesuai

Mengevaluasi terhadap
Meninjau Temuan Audit
kriteria audit

Kesimpulan Audit

DTS 2022 #Jadijagoandigital

 (Cont.)

Metode pengumpulan informasi meliputi, tetapi tidak terbatas pada hal

berikut:

– wawancara;
– pengamatan;
– tinjauan informasi terdokumentasi.

CATATAN 3 Panduan untuk memilih sumber informasi dan pengamatan tersedia

dalam A.14.

CATATAN 4 Panduan untuk mengunjungi lokasi auditi tersedia dalam A.15.

CATATAN 5 Panduan untuk melakukan wawancara tersedia dalam A.17.

DTS 2022 #Jadijagoandigital

 6.4.8 Membuat temuan audit
Bukti audit sebaiknya dievaluasi terhadap kriteria audit untuk menentukan temuan audit. Temuan audit dapat
menunjukkan kesesuaian atau ketidaksesuaian dengan kriteria audit. Ketika ditentukan oleh rencana audit, temuan audit
individual sebaiknya mencakup kesesuaian dan praktik yang baik bersama dengan bukti pendukungnya, peluang untuk
peningkatan, dan setiap rekomendasi kepada auditi.

Ketidaksesuaian dan bukti audit pendukungnya sebaiknya direkam.

Ketidaksesuaian dapat diperingkat tergantung pada konteks organisasi dan risikonya. Penilaian ini dapat bersifat
kuantitatif (misal 1 hingga 5) dan kualitatif (misal minor, mayor). Hal ini sebaiknya ditinjau dengan auditi untuk
mendapatkan pengakuan bahwa bukti audit akurat dan ketidaksesuaian dipahami. Setiap upaya sebaiknya dilakukan
untuk menyelesaikan setiap pendapat yang berbeda mengenai bukti atau temuan audit. Isu yang tidak terselesaikan
sebaiknya direkam dalam laporan audit.

Tim audit sebaiknya bertemu sesuai kebutuhan untuk meninjau temuan audit pada tahap yang sesuai selama audit.

CATATAN 1 Panduan tambahan tentang identifikasi dan evaluasi temuan audit tersedia dalam A.18.
CATATAN 2 Kesesuaian atau ketidaksesuaian dengan kriteria audit terkait dengan persyaratan peraturan perundangan
atau persyaratan lain, kadang disebut sebagai kepatuhan atau ketidakpatuhan.

DTS 2022 #Jadijagoandigital

 6.4.9 Menentukan kesimpulan audit

6.4.9.1 Persiapan rapat penutup

Tim audit sebaiknya berunding sebelum rapat penutup untuk:

a.meninjau temuan audit dan informasi sesuai lainnya yang
dikumpulkan selama audit, terhadap sasaran audit;
b.menyetujui kesimpulan audit, dengan memperhitungkan
ketidakpastian yang melekat dalam proses audit;
c.menyiapkan rekomendasi, jika ditentukan oleh rencana audit;
d.membahas tindak lanjut audit, jika sesuai.

DTS 2022 #Jadijagoandigital

 6.4.9.2 Konten kesimpulan audit

Kesimpulan audit sebaiknya menangani isu berikut:

a.sejauh mana kesesuaian dengan kriteria audit dan ketahanan sistem

manajemen, termasuk keefektifan sistem manajemen memenuhi hasil yang
dimaksudkan, identifikasi risiko dan keefektifan tindakan yang diambil oleh
auditi untuk menangani risiko;
b.penerapan, pemeliharaan dan peningkatan sistem manajemen yang efektif;
c.pencapaian sasaran audit, cakupan ruang lingkup audit dan pemenuhan
kriteria audit;
d.temuan serupa dari area berbeda yang diaudit atau dari audit gabungan atau
audit sebelumnya dengan maksud mengidentifikasi kecenderungan.

Jika ditentukan oleh rencana audit, kesimpulan audit dapat mengarah pada
rekomendasi untuk peningkatan, atau aktivitas audit yang akan datang.

DTS 2022 #Jadijagoandigital

 6.4.10 Melaksanakan rapat penutup

Rapat penutup sebaiknya diadakan untuk mempresentasikan temuan dan kesimpulan audit.

Rapat penutup sebaiknya dipimpin oleh ketua tim audit dan dihadiri oleh manajemen auditi dan termasuk,
jika berlaku:

• mereka yang bertanggung jawab atas fungsi atau proses yang telah diaudit;
• klien audit;
• anggota tim audit lainnya;
• pihak terkait lainnya yang relevan sebagaimana ditentukan oleh klien audit dan/atau auditi.

Jika berlaku, ketua tim audit sebaiknya memberi tahu auditi tentang situasi yang dihadapi selama audit
yang dapat mengurangi keyakinan sehingga dapat dituliskan dalam kesimpulan audit. Jika didefinisikan
dalam sistem manajemen atau disepakati dengan klien audit, para peserta sebaiknya menyetujui kerangka
waktu rencana aksi untuk menangani temuan audit.

DTS 2022 #Jadijagoandigital

 Tugas 4
Dinas Kominfo Kab. XYZ, memberikan akses untuk masuk
ke server development kepada seorang programmer yang
tengah membuat aplikasi sistem informasi.

Berdasarkan informasi diatas, bagaimanakah pendapat

Saudara ?
• Jika anda berpendapat hal tersebut merupakan
ketidaksesuaian, jelaskan klausul yang dilanggar
• Jika anda berpendapat hal tersebut bukan
ketidaksesuaian, jelaskan pendapat saudara

DTS 2022 #Jadijagoandigital

 (Cont.)

Tingkat kerincian sebaiknya memperhitungkan keefektifan sistem manajemen dalam

mencapai sasaran auditi, termasuk pertimbangan konteks dan risiko serta peluangnya.

Kebiasaan auditi dengan proses audit sebaiknya dipertimbangkan selama rapat penutup,
untuk memastikan tingkat kerincian yang benar diberikan kepada peserta.

Untuk beberapa situasi audit, rapat dapat formal dan risalah, termasuk rekaman kehadiran,
sebaiknya disimpan. Dalam kasus lain, misal audit internal, rapat penutup dapat menjadi
kurang formal dan hanya mengomunikasikan temuan serta kesimpulan audit.

Jika sesuai, hal berikut sebaiknya dijelaskan kepada auditi dalam rapat penutup:
a.memberitahu bahwa bukti audit yang dikumpulkan didasarkan pada sampel dari
informasi yang tersedia dan tidak sepenuhnya mewakili keefektifan keseluruhan proses
auditi;
b.metode pelaporan;
c.bagaimana temuan audit sebaiknya ditangani berdasarkan proses yang disepakati;
d.konsekuensi yang mungkin dari tidak cukupnya penanganan temuan audit;

DTS 2022 #Jadijagoandigital

 (Cont.)

e.presentasi temuan audit dan kesimpulan sedemikian rupa sehingga

dapat dipahami dan diakui oleh manajemen auditi;
f.segala aktivitas pasca-audit terkait (misal penerapan dan peninjauan
tindakan korektif, menangani keluhan audit, proses banding)

Setiap pendapat yang berbeda mengenai temuan audit atau kesimpulan

antara tim audit dan auditi sebaiknya didiskusikan dan, jika mungkin,
diselesaikan. Jika tidak diselesaikan, ini sebaiknya direkam.

Jika ditentukan oleh sasaran audit, peluang untuk rekomendasi

peningkatan dapat disampaikan. Hal ini sebaiknya ditekankan bahwa
rekomendasi tidak mengikat.

DTS 2022 #Jadijagoandigital

 6.5 Mempersiapkan dan mendistribusikan laporan audit

6.5.1 Mempersiapkan laporan audit

Ketua tim audit sebaiknya melaporkan kesimpulan audit sesuai dengan program audit.
Laporan audit sebaiknya memberikan catatan audit yang lengkap, akurat, singkat dan
jelas, dan sebaiknya mencakup atau merujuk pada hal berikut:

a.sasaran audit;
b. ruang lingkup audit, terutama identifikasi organisasi (auditi) dan fungsi atau proses
yang diaudit;
c.identifikasi klien audit;
d.identifikasi tim audit dan peserta auditi dalam audit;
e.tanggal dan lokasi aktivitas audit dilakukan;
f.kriteria audit;
g.temuan audit dan bukti terkait;
h.kesimpulan audit;
i.pernyataan tentang sejauh mana kriteria audit telah dipenuhi;
j.setiap perbedaan pendapat yang tidak terselesaikan antara tim audit dan auditi;
k.audit pada dasarnya adalah pengambilan sampel; dengan demikian ada risiko bahwa
bukti audit yang diperiksa tidak representatif.
DTS 2022 #Jadijagoandigital
 Laporan audit juga dapat mencakup atau merujuk hal berikut, jika
sesuai:

• rencana audit termasuk jadwal waktu;

• rangkuman proses audit, termasuk semua hambatan yang
dihadapi yang dapat menurunkan keandalan kesimpulan audit;
• konfirmasi bahwa sasaran audit telah dicapai dalam ruang
lingkup audit sesuai dengan rencana audit;
• area apapun dalam ruang lingkup audit yang tidak dicakup
termasuk isu ketersediaan bukti, sumber daya atau kerahasiaan,
dengan justifikasi terkait;
• ringkasan yang mencakup kesimpulan dan temuan audit pokok
yang mendukungnya;
• praktik yang baik diidentifikasi;
• tindak lanjut rencana aksi yang disepakati, jika ada;
• pernyataan konten yang bersifat rahasia;
• setiap implikasi program audit atau audit berikutnya.
DTS 2022 #Jadijagoandigital
 6.5.2 Mendistribusikan laporan audit

Laporan audit sebaiknya diterbitkan dalam periode waktu yang

disepakati. Jika ditunda, alasan sebaiknya dikomunikasikan kepada
auditi dan individu yang mengelola program audit.

Laporan audit sebaiknya diberi tanggal, ditinjau dan diterima, jika perlu,
sesuai dengan program audit.

Laporan audit sebaiknya didistribusikan kepada pihak berkepentingan

terkait yang didefinisikan dalam program audit atau rencana audit.

Saat mendistribusikan laporan audit, tindakan yang tepat untuk

memastikan kerahasiaan sebaiknya dipertimbangkan.

DTS 2022 #Jadijagoandigital

 6.6 Menyelesaikan audit

Audit selesai ketika semua rencana aktivitas audit telah dilaksanakan, atau bila
disepakati dengan klien audit (misal mungkin ada situasi yang tidak terduga yang
mencegah audit diselesaikan sesuai dengan rencana audit).

Informasi terdokumentasi yang berkaitan dengan audit sebaiknya disimpan atau

dimusnahkan dengan persetujuan antar pihak yang berpartisipasi dan sesuai
dengan program audit serta persyaratan yang berlaku.

Kecuali diwajibkan oleh hukum, tim audit dan individu yang mengelola program
audit sebaiknya tidak mengungkapkan informasi apa pun yang diperoleh selama
audit, atau laporan audit, kepada pihak lain tanpa persetujuan eksplisit dari klien
audit dan, jika perlu, persetujuan auditi. Jika pengungkapan isi dokumen audit
diperlukan, klien audit dan auditi sebaiknya diinformasikan sesegera mungkin.

Pembelajaran dari audit dapat mengidentifikasi risiko dan peluang untuk program
audit dan auditi.

DTS 2022 #Jadijagoandigital

 6.7 Melakukan tindak lanjut audit

Hasil audit dapat, tergantung pada sasaran audit, menunjukkan

perlunya koreksi, atau untuk tindakan korektif, atau peluang untuk
peningkatan. Tindakan tersebut biasanya diputuskan dan dilakukan oleh
auditi dalam jangka waktu yang disepakati.

Jika sesuai, auditi sebaiknya membuat individu yang mengelola program

audit dan/atau tim audit mengetahui status tindakan ini.
Penyelesaian dan keefektifan tindakan sebaiknya diverifikasi. Verifikasi
ini dapat menjadi bagian dari audit selanjutnya. Hasil sebaiknya
dilaporkan kepada individu yang mengelola program audit dan
dilaporkan ke klien audit untuk tinjauan manajemen.

DTS 2022 #Jadijagoandigital

47
 Contoh Laporan Audit

DTS 2022 #Jadijagoandigital

48
 Tugas 7
Ketika Anda ditugaskan menjadi seorang Auditor dan bertugas melakukan Audit
Internal SMKI di Instansi XYZ, maka yang harus Anda lakukan, yaitu :
1.Melakukan Audit :
• Opening Meeting
• Melakukan Teknik Audit Dokumen
• Melakukan Teknik Audit Wawancara (optional)
• Closing Meeting
2.Menyusun Laporan Audit (Lembar Ketidaksesuaian)

DTS 2022 #Jadijagoandigital

49
 #Jadijagoandigital
Terima Kasih